Nếu bạn đang đọc bài viết này, xin chúc mừng! Bạn đang tương tác thành công với một máy chủ khác trên internet bằng cổng 80 và 443, các cổng mạng mở tiêu chuẩn cho lưu lượng truy cập web. Nếu các cổng này bị đóng trên máy chủ của chúng tôi, bạn sẽ không thể đọc được bài viết này. Các cổng đóng giúp mạng của bạn (và máy chủ của chúng tôi) an toàn trước tin tặc.
Các cổng web của chúng tôi có thể mở, nhưng các cổng trên bộ định tuyến gia đình của bạn thì không, vì điều này tạo ra lỗ hổng cho các tin tặc độc hại. Tuy nhiên, đôi khi bạn có thể cần cho phép truy cập vào thiết bị của mình qua internet bằng cách sử dụng tính năng chuyển tiếp cổng. Để giúp bạn tìm hiểu thêm về chuyển tiếp cổng, đây là những điều bạn cần biết.
Nội dung bài viết
Chuyển tiếp cổng là gì?
Chuyển tiếp cổng là một quá trình trên bộ định tuyến mạng cục bộ nhằm chuyển tiếp các nỗ lực kết nối từ các thiết bị trực tuyến đến các thiết bị cụ thể trên mạng cục bộ. Điều này là nhờ các quy tắc chuyển tiếp cổng trên bộ định tuyến mạng khớp với các lần thử kết nối được thực hiện với đúng cổng và địa chỉ IP của thiết bị trên mạng của bạn.
Mạng cục bộ có thể có một địa chỉ IP công cộng duy nhất nhưng mỗi thiết bị trên mạng nội bộ của bạn đều có IP nội bộ riêng. Chuyển tiếp cổng liên kết các yêu cầu bên ngoài này từ A (IP công cộng và cổng bên ngoài) đến B (cổng được yêu cầu và địa chỉ IP cục bộ của thiết bị trên mạng của bạn).
Để giải thích tại sao điều này có thể hữu ích, hãy tưởng tượng rằng mạng gia đình của bạn hơi giống một pháo đài thời trung cổ. Mặc dù bạn có thể nhìn ra ngoài bức tường nhưng những người khác không thể nhìn vào hoặc chọc thủng hệ thống phòng thủ của bạn—bạn được an toàn trước sự tấn công.
Nhờ tường lửa mạng tích hợp, mạng của bạn cũng ở vị trí tương tự. Bạn có thể truy cập các dịch vụ trực tuyến khác, chẳng hạn như trang web hoặc máy chủ trò chơi, nhưng đổi lại những người dùng Internet khác không thể truy cập vào thiết bị của bạn. Cầu rút được nâng lên vì tường lửa của bạn chủ động chặn mọi nỗ lực từ các kết nối bên ngoài nhằm xâm phạm mạng của bạn.
Tuy nhiên, có một số trường hợp mức độ bảo vệ này là không mong muốn. Nếu bạn muốn chạy một máy chủ trên mạng gia đình của mình (chẳng hạn như sử dụng Raspberry Pi), thì cần có các kết nối bên ngoài.
Đây là lúc tính năng chuyển tiếp cổng phát huy tác dụng vì bạn có thể chuyển tiếp các yêu cầu bên ngoài này đến các thiết bị cụ thể mà không ảnh hưởng đến bảo mật của mình.
Ví dụ: giả sử bạn đang chạy máy chủ web cục bộ trên thiết bị có địa chỉ IP nội bộ 192.168.1.12trong khi địa chỉ IP công cộng của bạn là 80.80.100.110. Yêu cầu bên ngoài tới cổng 80 (80.90.100.110:80) sẽ được phép, nhờ các quy tắc chuyển tiếp cổng, với lưu lượng được chuyển tiếp tới cổng 80 TRÊN 192.168.1.12.
Để thực hiện việc này, bạn cần định cấu hình mạng của mình để cho phép chuyển tiếp cổng, sau đó tạo quy tắc chuyển tiếp cổng thích hợp trong bộ định tuyến mạng của bạn. Bạn cũng có thể cần định cấu hình các tường lửa khác trên mạng của mình, bao gồm cả tường lửa Windows, để cho phép lưu lượng truy cập.
Tại sao bạn nên tránh UPnP (Chuyển tiếp cổng tự động)
Thiết lập chuyển tiếp cổng trên mạng cục bộ của bạn không khó đối với người dùng nâng cao nhưng nó có thể gây ra đủ loại khó khăn cho người mới sử dụng. Để giúp khắc phục vấn đề này, các nhà sản xuất thiết bị mạng đã tạo ra một hệ thống tự động chuyển tiếp cổng được gọi là UPnP (hoặc Cắm và chạy phổ quát).
Ý tưởng đằng sau UPnP là (và đang) cho phép các ứng dụng và thiết bị dựa trên internet tự động tạo quy tắc chuyển tiếp cổng trên bộ định tuyến của bạn để cho phép lưu lượng truy cập bên ngoài. Ví dụ: UPnP có thể tự động mở cổng và chuyển tiếp lưu lượng truy cập cho thiết bị chạy máy chủ trò chơi mà không cần phải định cấu hình quyền truy cập theo cách thủ công trong cài đặt bộ định tuyến của bạn.
Ý tưởng này thật tuyệt vời, nhưng đáng buồn thay, việc thực hiện lại có sai sót – nếu không muốn nói là cực kỳ nguy hiểm. UPnP là giấc mơ của phần mềm độc hại vì nó tự động cho rằng mọi ứng dụng hoặc dịch vụ chạy trên mạng của bạn đều an toàn. Trang web hack UPnP tiết lộ số lượng các điểm không an toàn mà ngay cả ngày nay vẫn dễ dàng được đưa vào các bộ định tuyến mạng.
Từ quan điểm bảo mật, tốt nhất bạn nên thận trọng. Thay vì mạo hiểm với bảo mật mạng của bạn, hãy tránh sử dụng UPnP để tự động chuyển tiếp cổng (và, nếu có thể, hãy tắt hoàn toàn tính năng này). Thay vào đó, bạn chỉ nên tạo quy tắc chuyển tiếp cổng thủ công cho các ứng dụng và dịch vụ mà bạn tin tưởng và không có lỗ hổng nào được biết đến.
Cách thiết lập chuyển tiếp cổng trên mạng của bạn
Nếu bạn tránh UPnP và muốn thiết lập chuyển tiếp cổng theo cách thủ công, bạn thường có thể thực hiện việc này từ trang quản trị web của bộ định tuyến. Nếu không chắc chắn về cách truy cập thông tin này, bạn thường có thể tìm thấy thông tin ở dưới cùng của bộ định tuyến hoặc có trong hướng dẫn sử dụng tài liệu của bộ định tuyến.
Bạn có thể kết nối với trang quản trị của bộ định tuyến bằng địa chỉ cổng mặc định cho bộ định tuyến của mình. Đây thường là 192.168.0.1 hoặc một biến thể tương tự—nhập địa chỉ này vào thanh địa chỉ của trình duyệt web của bạn. Bạn cũng cần xác thực bằng tên người dùng và mật khẩu được cung cấp cùng với bộ định tuyến của mình (ví dụ: quản trị viên).
Định cấu hình địa chỉ IP tĩnh bằng cách đặt trước DHCP
Hầu hết các mạng cục bộ sử dụng phân bổ IP động để gán địa chỉ IP tạm thời cho các thiết bị kết nối. Sau một thời gian nhất định, địa chỉ IP sẽ được gia hạn. Những địa chỉ IP tạm thời này có thể được tái chế và sử dụng ở nơi khác và thiết bị của bạn có thể được gán một địa chỉ IP cục bộ khác.
Tuy nhiên, chuyển tiếp cổng yêu cầu địa chỉ IP được sử dụng cho mọi thiết bị cục bộ vẫn giữ nguyên. Bạn có thể chỉ định địa chỉ IP tĩnh theo cách thủ công, nhưng hầu hết các bộ định tuyến mạng đều cho phép bạn chỉ định phân bổ địa chỉ IP tĩnh cho một số thiết bị nhất định trong trang cài đặt của bộ định tuyến bằng cách sử dụng tính năng đặt trước DHCP.
Thật không may, mỗi nhà sản xuất bộ định tuyến đều khác nhau và các bước hiển thị trong ảnh chụp màn hình bên dưới (được thực hiện bằng bộ định tuyến TP-Link) có thể không khớp với bộ định tuyến của bạn. Nếu đúng như vậy, bạn có thể cần xem qua tài liệu của bộ định tuyến để được hỗ trợ thêm.
Để bắt đầu, hãy truy cập trang quản trị web của bộ định tuyến mạng bằng trình duyệt web của bạn và xác thực bằng tên người dùng và mật khẩu quản trị viên của bộ định tuyến. Sau khi đăng nhập, hãy truy cập khu vực cài đặt DHCP của bộ định tuyến.
Bạn có thể quét các thiết bị cục bộ đã được kết nối (để tự động điền quy tắc phân bổ bắt buộc) hoặc bạn có thể cần cung cấp địa chỉ MAC cụ thể cho thiết bị mà bạn muốn gán IP tĩnh. Tạo quy tắc bằng địa chỉ MAC chính xác và địa chỉ IP bạn muốn sử dụng, sau đó lưu mục nhập.
Tạo quy tắc chuyển tiếp cổng mới
Nếu thiết bị của bạn có IP tĩnh (được đặt thủ công hoặc dành riêng trong cài đặt phân bổ DHCP), bạn có thể chuyển sang tạo quy tắc chuyển tiếp cổng. Các điều khoản cho việc này có thể khác nhau. Chẳng hạn, một số bộ định tuyến TP-Link gọi tính năng này là máy chủ ảotrong khi các bộ định tuyến của Cisco gọi nó bằng tên tiêu chuẩn (Cổng chuyển tiếp).
Trong menu chính xác trên trang quản trị web của bộ định tuyến, hãy tạo quy tắc chuyển tiếp cổng mới. Quy tắc sẽ yêu cầu bên ngoài cổng (hoặc phạm vi cổng) mà bạn muốn người dùng bên ngoài kết nối. Cổng này được liên kết với địa chỉ IP công cộng của bạn (ví dụ: cổng 80 cho IP công cộng 80.80.30.10).
Bạn cũng sẽ cần phải xác định nội bộ cổng mà bạn muốn chuyển tiếp lưu lượng truy cập từ bên ngoài cổng tới. Đây có thể là cùng một cổng hoặc một cổng thay thế (để che giấu mục đích của lưu lượng truy cập). Bạn cũng cần cung cấp địa chỉ IP tĩnh cho địa phương thiết bị (ví dụ 192.168.0.10) và giao thức cổng đang sử dụng (ví dụ: TCP hoặc UDP).
Tùy thuộc vào bộ định tuyến của bạn, bạn có thể chọn loại dịch vụ để tự động điền dữ liệu quy tắc cần thiết (ví dụ: HTTP cho cổng 80 hoặc HTTPS cho cổng 443). Khi bạn đã định cấu hình quy tắc, hãy lưu quy tắc đó để áp dụng thay đổi.
Các bước bổ sung
Bộ định tuyến mạng của bạn sẽ tự động áp dụng thay đổi cho các quy tắc tường lửa của bạn. Mọi nỗ lực kết nối bên ngoài được thực hiện với cổng đã mở phải được chuyển tiếp đến thiết bị bên trong bằng quy tắc bạn đã tạo, mặc dù bạn có thể cần tạo quy tắc bổ sung cho các dịch vụ sử dụng nhiều cổng hoặc phạm vi cổng.
Nếu gặp sự cố, bạn cũng có thể cần cân nhắc việc thêm các quy tắc tường lửa bổ sung vào tường lửa phần mềm của PC hoặc Mac (bao gồm cả Tường lửa của Windows) để cho phép lưu lượng truy cập đi qua. Ví dụ: Tường lửa của Windows thường không cho phép các kết nối bên ngoài, vì vậy bạn có thể cần phải định cấu hình tính năng này trong Windows. Settings thực đơn.
Nếu Tường lửa của Windows gây khó khăn cho bạn, bạn có thể tạm thời tắt nó để điều tra. Tuy nhiên, do các rủi ro bảo mật, chúng tôi khuyên bạn nên bật lại Tường lửa Windows sau khi khắc phục sự cố vì nó cung cấp khả năng bảo vệ bổ sung chống lại các nỗ lực tấn công có thể xảy ra.
Bảo mật mạng gia đình của bạn
Bạn đã học cách thiết lập chuyển tiếp cổng nhưng đừng quên những rủi ro. Mỗi cổng bạn mở sẽ tạo thêm một lỗ hổng khác xuyên qua tường lửa của bộ định tuyến mà các công cụ quét cổng có thể tìm thấy và lợi dụng. Nếu bạn cần mở cổng cho một số ứng dụng hoặc dịch vụ nhất định, hãy đảm bảo bạn giới hạn chúng ở các cổng riêng lẻ thay vì phạm vi cổng lớn có thể bị vi phạm.
Nếu lo lắng về mạng gia đình của mình, bạn có thể tăng cường bảo mật mạng bằng cách thêm tường lửa của bên thứ ba. Đây có thể là tường lửa phần mềm được cài đặt trên PC hoặc Mac của bạn hoặc tường lửa phần cứng 24/7 như Tường lửa vàng, được gắn vào bộ định tuyến mạng để bảo vệ tất cả các thiết bị của bạn cùng một lúc.
