Nếu bạn đang đọc bài viết này, xin chúc mừng! Bạn đang tương tác thành công với một máy chủ khác trên internet bằng cổng 80 và 443, các cổng mạng mở tiêu chuẩn cho lưu lượng truy cập web. Nếu các cổng này bị đóng trên máy chủ của chúng tôi, bạn sẽ không thể đọc bài viết này. Các cổng bị đóng giữ cho mạng của bạn (và máy chủ của chúng tôi) an toàn trước tin tặc.
Các cổng web của chúng tôi có thể mở, nhưng các cổng của bộ định tuyến tại nhà của bạn thì không, vì điều này mở ra lỗ hổng cho các tin tặc độc hại. Tuy nhiên, thỉnh thoảng bạn có thể cần cho phép truy cập vào thiết bị của mình qua internet bằng cách sử dụng chuyển tiếp cổng. Để giúp bạn tìm hiểu thêm về chuyển tiếp cổng, đây là những điều bạn cần biết.
Nội dung bài viết
Chuyển tiếp cảng là gì?
Chuyển tiếp cổng là một quá trình trên bộ định tuyến mạng cục bộ chuyển tiếp các nỗ lực kết nối từ các thiết bị trực tuyến đến các thiết bị cụ thể trong mạng cục bộ. Điều này là nhờ các quy tắc chuyển tiếp cổng trên bộ định tuyến mạng của bạn khớp với các nỗ lực kết nối được thực hiện đến đúng cổng và địa chỉ IP của thiết bị trên mạng của bạn.
Mạng cục bộ có thể có một địa chỉ IP công cộng, nhưng mỗi thiết bị trong mạng nội bộ của bạn có IP nội bộ của riêng nó. Chuyển tiếp cổng liên kết các yêu cầu bên ngoài này từ A (IP công cộng và cổng bên ngoài) đến B (cổng được yêu cầu và địa chỉ IP cục bộ của thiết bị trên mạng của bạn).
Để giải thích tại sao điều này có thể hữu ích, hãy tưởng tượng rằng mạng gia đình của bạn giống như một pháo đài thời trung cổ. Trong khi bạn có thể nhìn ra bên ngoài các bức tường, những người khác không thể nhìn vào hoặc phá vỡ hàng phòng thủ của bạn — bạn an toàn trước cuộc tấn công.
Nhờ có tường lửa mạng tích hợp, mạng của bạn ở cùng một vị trí. Bạn có thể truy cập các dịch vụ trực tuyến khác, chẳng hạn như trang web hoặc máy chủ trò chơi, nhưng đổi lại những người dùng internet khác không thể truy cập thiết bị của bạn. Cầu kéo được nâng lên, vì tường lửa của bạn chủ động chặn mọi nỗ lực từ các kết nối bên ngoài nhằm xâm phạm mạng của bạn.
Tuy nhiên, có một số tình huống mà mức độ bảo vệ này là không mong muốn. Nếu bạn muốn chạy một máy chủ trên mạng gia đình của mình (ví dụ: sử dụng Raspberry Pi), các kết nối bên ngoài là cần thiết.
Đây là nơi chuyển tiếp cổng xuất hiện, vì bạn có thể chuyển tiếp các yêu cầu bên ngoài này tới các thiết bị cụ thể mà không ảnh hưởng đến bảo mật của bạn.
Ví dụ: giả sử bạn đang chạy một máy chủ web cục bộ trên một thiết bị có địa chỉ IP nội bộ 192.168.1.12, trong khi địa chỉ IP công cộng của bạn là 80.80.100.110. Yêu cầu bên ngoài để chuyển 80 (80.90.100.110:80) sẽ được cho phép, nhờ các quy tắc chuyển tiếp cổng, với lưu lượng truy cập được chuyển tiếp đến cổng 80 trên 192.168.1.12.
Để thực hiện việc này, bạn cần phải định cấu hình mạng của mình để cho phép chuyển tiếp cổng, sau đó tạo các quy tắc chuyển tiếp cổng thích hợp trong bộ định tuyến mạng của bạn. Bạn cũng có thể cần phải định cấu hình các tường lửa khác trên mạng của mình, bao gồm cả tường lửa Windows, để cho phép lưu lượng truy cập.
Tại sao bạn nên tránh UPnP (Chuyển tiếp cổng tự động)
Thiết lập chuyển tiếp cổng trên mạng cục bộ của bạn không khó đối với người dùng nâng cao, nhưng nó có thể tạo ra tất cả các loại khó khăn cho người mới. Để giúp khắc phục sự cố này, các nhà sản xuất thiết bị mạng đã tạo ra một hệ thống tự động để chuyển tiếp cổng được gọi là UPnP (hoặc là Cắm và chạy đa năng).
Ý tưởng đằng sau UPnP là (và đang) cho phép các ứng dụng và thiết bị dựa trên internet tự động tạo các quy tắc chuyển tiếp cổng trên bộ định tuyến của bạn để cho phép lưu lượng truy cập bên ngoài. Ví dụ: UPnP có thể tự động mở các cổng và chuyển tiếp lưu lượng truy cập cho thiết bị chạy máy chủ trò chơi mà không cần phải định cấu hình thủ công quyền truy cập trong cài đặt bộ định tuyến của bạn.
Ý tưởng này rất tuyệt vời, nhưng đáng buồn thay, việc thực hiện còn thiếu sót – nếu không muốn nói là cực kỳ nguy hiểm. UPnP là giấc mơ của phần mềm độc hại, vì nó tự động giả định rằng bất kỳ ứng dụng hoặc dịch vụ nào chạy trên mạng của bạn đều an toàn. Trang web tấn công UPnP tiết lộ số lượng các điểm không an toàn, thậm chí ngày nay, đã có sẵn trong các bộ định tuyến mạng.
Từ quan điểm bảo mật, tốt nhất bạn nên thận trọng. Thay vì mạo hiểm với bảo mật mạng của bạn, hãy tránh sử dụng UPnP để chuyển tiếp cổng tự động (và nếu có thể, hãy tắt hoàn toàn). Thay vào đó, bạn chỉ nên tạo quy tắc chuyển tiếp cổng thủ công cho các ứng dụng và dịch vụ mà bạn tin tưởng và không có lỗ hổng đã biết.
Cách thiết lập cổng chuyển tiếp trên mạng của bạn
Nếu bạn đang tránh UPnP và muốn thiết lập chuyển tiếp cổng theo cách thủ công, bạn thường có thể làm như vậy từ trang quản trị web của bộ định tuyến. Nếu bạn không chắc chắn về cách truy cập vào phần này, bạn thường có thể tìm thấy thông tin ở dưới cùng của bộ định tuyến hoặc có trong tài liệu hướng dẫn sử dụng bộ định tuyến của bạn.
Bạn có thể kết nối với trang quản trị của bộ định tuyến bằng địa chỉ cổng mặc định cho bộ định tuyến của mình. Điều này thường là 192.168.0.1 hoặc một biến thể tương tự — nhập địa chỉ này vào thanh địa chỉ của trình duyệt web của bạn. Bạn cũng sẽ cần xác thực bằng tên người dùng và mật khẩu được cung cấp cùng với bộ định tuyến của mình (ví dụ: quản trị viên).
Định cấu hình địa chỉ IP tĩnh bằng cách sử dụng đặt trước DHCP
Hầu hết các mạng cục bộ sử dụng phân bổ IP động để gán địa chỉ IP tạm thời cho các thiết bị kết nối. Sau một thời gian nhất định, địa chỉ IP sẽ được gia hạn. Các địa chỉ IP tạm thời này có thể được tái chế và sử dụng ở nơi khác và thiết bị của bạn có thể được gán một địa chỉ IP cục bộ khác cho nó.
Tuy nhiên, chuyển tiếp cổng yêu cầu giữ nguyên địa chỉ IP được sử dụng cho mọi thiết bị cục bộ. Bạn có thể chỉ định địa chỉ IP tĩnh theo cách thủ công, nhưng hầu hết các bộ định tuyến mạng đều cho phép bạn chỉ định phân bổ địa chỉ IP tĩnh cho một số thiết bị nhất định trong trang cài đặt của bộ định tuyến bằng cách sử dụng đặt trước DHCP.
Rất tiếc, mỗi nhà sản xuất bộ định tuyến lại khác nhau và các bước hiển thị trong ảnh chụp màn hình bên dưới (được thực hiện bằng bộ định tuyến TP-Link) có thể không khớp với bộ định tuyến của bạn. Nếu đúng như vậy, bạn có thể cần xem qua tài liệu hướng dẫn của bộ định tuyến để được hỗ trợ thêm.
Để bắt đầu, hãy truy cập trang quản trị web của bộ định tuyến mạng bằng trình duyệt web của bạn và xác thực bằng tên người dùng và mật khẩu quản trị viên của bộ định tuyến. Sau khi bạn đã đăng nhập, hãy truy cập khu vực cài đặt DHCP của bộ định tuyến.
Bạn có thể quét các thiết bị cục bộ đã được kết nối (để tự động điền quy tắc phân bổ bắt buộc) hoặc bạn có thể cần cung cấp địa chỉ MAC cụ thể cho thiết bị mà bạn muốn gán IP tĩnh. Tạo quy tắc bằng địa chỉ MAC chính xác và địa chỉ IP bạn muốn sử dụng, sau đó lưu mục nhập.
Tạo quy tắc chuyển tiếp cổng mới
Nếu thiết bị của bạn có IP tĩnh (được đặt theo cách thủ công hoặc dành riêng trong cài đặt phân bổ DHCP của bạn), bạn có thể di chuyển để tạo quy tắc chuyển tiếp cổng. Các điều khoản cho điều này có thể khác nhau. Ví dụ: một số bộ định tuyến TP-Link đề cập đến tính năng này là máy chủ ảo, trong khi các bộ định tuyến của Cisco gọi nó bằng tên tiêu chuẩn (Cổng chuyển tiếp).
Trong menu chính xác trên trang quản trị web của bộ định tuyến, hãy tạo quy tắc chuyển tiếp cổng mới. Quy tắc sẽ yêu cầu bên ngoài cổng (hoặc dải cổng) mà bạn muốn người dùng bên ngoài kết nối. Cổng này được liên kết với địa chỉ IP công cộng của bạn (ví dụ: cổng 80 cho IP công cộng 80,80,30.10).
Bạn cũng sẽ cần xác định nội bộ cổng mà bạn muốn chuyển tiếp lưu lượng truy cập từ bên ngoài cảng đến. Đây có thể là cùng một cổng hoặc một cổng thay thế (để ẩn mục đích của lưu lượng truy cập). Bạn cũng sẽ cần cung cấp địa chỉ IP tĩnh cho địa phương thiết bị (ví dụ: 192.168.0.10) và giao thức cổng đang sử dụng (ví dụ: TCP hoặc UDP).
Tùy thuộc vào bộ định tuyến của bạn, bạn có thể chọn loại dịch vụ để tự động điền dữ liệu quy tắc bắt buộc (ví dụ: HTTP cho cổng 80 hoặc HTTPS cho cổng 443). Khi bạn đã định cấu hình quy tắc, hãy lưu quy tắc đó để áp dụng thay đổi.
Các bước bổ sung
Bộ định tuyến mạng của bạn sẽ tự động áp dụng thay đổi cho các quy tắc tường lửa của bạn. Mọi nỗ lực kết nối bên ngoài được thực hiện với cổng đã mở phải được chuyển tiếp đến thiết bị nội bộ bằng quy tắc bạn đã tạo, mặc dù bạn có thể cần tạo quy tắc bổ sung cho các dịch vụ sử dụng nhiều cổng hoặc phạm vi cổng.
Nếu gặp sự cố, bạn cũng có thể cần xem xét thêm các quy tắc tường lửa bổ sung vào tường lửa phần mềm của PC hoặc Mac (bao gồm Tường lửa của Windows) để cho phép lưu lượng truy cập. Ví dụ: Tường lửa của Windows thường không cho phép các kết nối bên ngoài, vì vậy bạn có thể cần phải định cấu hình điều này trong Windows Settings thực đơn.
Nếu Tường lửa của Windows đang gây khó khăn cho bạn, bạn có thể tạm thời vô hiệu hóa nó để điều tra. Tuy nhiên, do các rủi ro bảo mật, chúng tôi khuyên bạn nên bật lại Tường lửa của Windows sau khi khắc phục sự cố vì nó cung cấp khả năng bảo vệ bổ sung chống lại các nỗ lực tấn công có thể xảy ra.
Bảo mật mạng gia đình của bạn
Bạn đã học cách thiết lập chuyển tiếp cổng, nhưng đừng quên những rủi ro. Mỗi cổng bạn mở thêm một lỗ hổng khác vượt qua tường lửa của bộ định tuyến mà các công cụ quét cổng có thể tìm thấy và lạm dụng. Nếu bạn cần mở các cổng cho một số ứng dụng hoặc dịch vụ nhất định, hãy đảm bảo rằng bạn giới hạn chúng ở các cổng riêng lẻ, thay vì phạm vi cổng lớn có thể bị vi phạm.
Nếu lo lắng về mạng gia đình của mình, bạn có thể tăng cường bảo mật mạng bằng cách thêm tường lửa của bên thứ ba. Đây có thể là tường lửa phần mềm được cài đặt trên PC hoặc Mac của bạn hoặc tường lửa phần cứng 24/7 như Firewalla Gold, được gắn vào bộ định tuyến mạng của bạn để bảo vệ tất cả các thiết bị của bạn cùng một lúc.
