Проброс портов на Windows VPS | Полное руководство

Брандмауэр блокирует SSH-соединения и не понятно, как это исправить?

Хотите усилить безопасность Windows VPS, но не знаете, как настроить переадресацию портов?

Не беспокойтесь — здесь вы найдёте понятные пошаговые инструкции по настройке переадресации портов на Windows VPS.

Я постарался объяснить всё простым языком, чтобы этим руководством мог воспользоваться любой — без необходимости гуглить каждый второй термин. В конце я также расскажу об одном удобном способе который позволяет обойти проблему полностью. Но что такое переадресация портов и зачем она вам нужна? В каких случаях её стоит использовать?

На эти вопросы я отвечу в первой части руководства. Если вы уже знакомы с темой или хотите сразу перейти к делу — пропустите её и переходите к инструкциям. 

Что такое переадресация портов?

Переадресация портов может казаться чем-то сложным или, наоборот, решаться буквально в несколько кликов — всё зависит от задачи. В теории определение простое: переадресация портов — это сопоставление одного IP-адреса и номера порта с другим IP-адресом и другим номером порта. 

Зачем это вообще нужно? Всё дело в том, что одна из двух пар адресов — внешняя, а другая — внутренняя. Но сначала короткое определение. Если IP-адрес позволяет найти конкретное устройство, то порт определяет службы или приложения, которые это устройство использует в сети. Возможно, вам также потребуется изменить порт удалённого рабочего стола для вашего Windows VPS. 

Ваша локальная сеть, например, состоит из ноутбука, принтера, устройства для трансляции, смарт-телевизора, телефона, подключённого по WiFi, и так далее. У каждого из них есть свой IP-адрес, и каждое устройство обменивается данными через определённые порты. Но все эти адреса — внутренние, действительные только в вашей локальной сети (LAN). По умолчанию большинство таких адресов выглядят примерно как 192.168.1.1, то есть они далеко не уникальны. 

В интернете, однако, работают серверы, маршрутизаторы и другие устройства, которые идентифицируются набором уникальных фиксированных IP-адресов. Это, разумеется, внешние адреса (и порты, когда речь идёт об обмене данными). Между двумя сетями стоят маршрутизаторы или трансляторы сетевых адресов (NAT) — они позволяют внутренним устройствам обращаться к внешним службам (например, веб-сервисам), оставаясь скрытыми снаружи.

Если хост во внешней сети хочет подключиться к одному из ваших устройств во внутренней сети, ему необходимо знать IP-адрес и порт, которые это устройство использует для подключения к маршрутизатору. Безопасность дополнительно обеспечивает ваш файрвол, который блокирует почти все порты и тем самым предотвращает нежелательные подключения. В совокупности они создают дополнительный уровень защиты от хакеров и DDoS-атак (прямой отказ в обслуживании). Разумеется, вы можете занять и более активную позицию — просканировать порты с помощью Netcat listener. Но что если вы хотите разрешить определённый трафик?

Зачем нужна переадресация портов?

Проброс портов необходим, если вы планируете хостить онлайн-игру или использовать конкретное приложение для доступа к удалённому рабочему столу. Разумеется, есть и самое известное применение проброса портов —, подключение SSH. Соединение Secure Shell использует конкретный порт, который должен быть открыт в файрволе. Кроме того, в рамках дополнительных мер безопасности вам может потребоваться изменить порт SSH по умолчанию, создав тем самым дополнительное препятствие для потенциальных злоумышленников.

Без указания порта, через который должны проходить данные, ничего из перечисленного выше не сработает. Также важна настройка правил проброса портов в файрволе. Если файрвол настроен неправильно, он может заблокировать важные службы и лишить их доступа к интернету. 

Есть и другие риски: однажды я по ошибке назначил двум разным приложениям один и тот же порт — и ни одно из них, конечно, не заработало. Понадобилось немало времени, чтобы разобраться в проблеме, а для работающего бизнеса такая ситуация может обойтись очень дорого.

Теперь, когда контекст понятен и ставки обозначены, переходим к практике. Хватит слов — займёмся портами.

Как настроить переадресацию портов на Windows VPS?

Если у вас есть Windows VPS, проброс портов будет особенно важен, потому что вам обязательно потребуется настроить соединение SSH. Также нужно разрешить клиентам подключаться к вашему веб-серверу. Настроить проброс портов на Windows VPS можно разными способами, но здесь мы рассмотрим только простой вариант через графический интерфейс. Решение через командную строку работает не хуже, но требует значительно больше усилий.

Читайте также: 6 лучших межсетевых экранов для Windows 10 в 2022 году

Настройка проброса портов на Windows VPS состоит из нескольких простых шагов. Выполняйте их по порядку, используя брандмауэр Windows в качестве основного инструмента. Шаги одинаковы для Windows 10, Windows Server 2019 и других редакций Windows.

Шаг 1: откройте «Параметры»

 

Для начала откройте Параметры (раньше это называлось Панелью управления) через меню «Пуск» — просто введите название в поиске. На главном экране перейдите в раздел «Система и безопасность», затем нажмите на Windows Security (или «Брандмауэр Windows»). 

На открывшемся экране, как правило, есть боковая панель слева. Найдите в ней пункт «Дополнительные параметры» и нажмите на него. Если боковой панели нет, проверьте нижнюю часть экрана.

 

Шаг 2: Откройте настройки Defender

Откроется новое окно под названием «Брандмауэр Windows Defender в режиме повышенной безопасности». 

Шаг 3: Найдите правила для входящих подключений

В левой части окна вы увидите два важных раздела, с которыми нам предстоит работать: «Правила для входящих подключений» и «Правила для исходящих подключений».

Что именно Windows подразумевает под этими терминами? Разберёмся:

• Правила для входящих подключений: определяют, какой трафик разрешено пропускать во внутреннюю сеть (на ваш компьютер или VPS), то есть задают допустимые источники и порты.
• Правила для исходящих подключений: определяют, какой трафик разрешено отправлять из вашей системы во внешнюю сеть (обычно в интернет). Управление также осуществляется через порты.

Шаг 4: Создайте новое правило

 

Перейдём непосредственно к настройке проброса портов на Windows.

Щёлкните правой кнопкой мыши по разделу «Правила для входящих подключений» и выберите «Создать правило» в контекстном меню.

Откроется мастер настройки, который проведёт вас по остальным шагам. Как видно на скриншоте ниже, брандмауэр Windows позволяет создавать правила разных типов. Поскольку мы настраиваем проброс портов, выберите «Порт» из списка и нажмите «Далее».

Шаг 5: Введите параметры

 

Следующий шаг мастера - ключевой: здесь нужно указать тип протокола и номера портов, которые вы хотите настроить для проброса.

Первый вопрос касается протокола, который будет использовать этот порт для передачи данных. TCP и UDP - оба протокола транспортного уровня, но между ними есть существенные различия. Например, UDP работает быстрее, однако теряет больше пакетов, чем более медленный TCP. Если вы не уверены, какой протокол использует нужный порт и связанный с ним сервис, лучше пройти мастер дважды и добавить правила для обоих типов.

Шаг 6: Создайте правило

Следующий шаг на этом экране — ещё один выбор: применить правило ко всем портам или только к тем, которые вы укажете вручную. В большинстве случаев выбирать «Все локальные порты» — плохая идея, независимо от контекста. Выберите «Конкретные локальные порты» и перейдите в текстовое поле, чтобы их указать. 

Если нужно добавить правило для нескольких портов одновременно, их можно перечислить через запятую, например: 

“8080, 443, 3000”

Кроме того, можно задать диапазон портов. Для этого укажите первый и последний номер порта в диапазоне и разделите их дефисом:

“8000-8800”

Можно также совмещать оба способа, перечисляя всё в одном месте:

“443, 3000, 8000-8800”

 

Шаг 7: Выберите тип правила

На этом экране вы определяете, что именно должно делать правило для выбранных портов. Хотите разрешить входящие подключения? Выберите первый вариант — «Разрешить подключение». Если нужно запретить переадресацию портов — выберите «Блокировать подключение». Есть и третий вариант, но он не относится к тому, что мы здесь настраиваем.

Шаг 8: Задайте область действия правила

 

На этом шаге мастер спросит: «Когда применяется это правило?» Имеет смысл выбрать «Публичные сети», поскольку при использовании VPS корпоративные и частные сети не актуальны. Для надёжности можно отметить все три пункта. Нажмите «Далее», чтобы перейти к последнему шагу.

 

Шаг 9: Завершите настройку правила

На этом экране нужно дать правилу имя и при желании добавить описание. Имя обязательно — без него правило не сохранится. Описание необязательно, но если вы его заполните, найти правило позже будет проще. Нажмите «Готово» — и всё готово.

Шаг 10: Правила для исходящих подключений

 

Строго говоря, вы настроили только входящее правило. Если нужно также задать исходящее, придётся повторить все те же шаги. Но это не должно вызвать затруднений — порядок действий полностью совпадает.

Читайте также: Изменение порта удалённого рабочего стола на Windows VPS

Готово — или нет?

 

Если вы следовали этим инструкциям, то теперь знаете, как настроить переадресацию портов в Windows VPS. Эти знания пригодятся при решении аналогичных задач в будущем. Правда, не всегда всё решается так просто. Неслучайно сетевые администраторы получают деньги за эту работу — под капотом она куда сложнее, чем кажется. Например, как узнать, не занят ли порт другим приложением в момент назначения? Как использовать переадресацию портов для защиты веб-сервера? 

Это важные вопросы, и ответы на них слишком объёмны, чтобы уместиться здесь. Именно поэтому я обещал более простой путь, который позволяет обойти всю эту сложность. RouterHosting предлагает оптимизированные Windows VPS решения с упором на безопасность и надёжность. Переадресация портов настроена изначально, так что беспокоиться о настройке подключения SSH не придётся. А если появятся новые приложения или возникнут непредвиденные проблемы, наша служба поддержки работает круглосуточно и без выходных. Серверы построены на производительном железе с хранилищем NVMe и пропускной способностью 1 Gbps — работать с нашим Windows VPS одно удовольствие. Не тратьте время на ручную настройку переадресации портов в Windows — возьмите Cloudzy Windows VPS, и мы сделаем это за вас, а заодно многое другое.