การส่งต่อพอร์ตคืออะไรและวิธีตั้งค่าบนเราเตอร์ของคุณ

หากคุณกำลังอ่านบทความนี้ ขอแสดงความยินดี! คุณโต้ตอบกับเซิร์ฟเวอร์อื่นบนอินเทอร์เน็ตได้สำเร็จโดยใช้พอร์ต 80 และ 443 ซึ่งเป็นพอร์ตเครือข่ายเปิดมาตรฐานสำหรับการเข้าชมเว็บ หากพอร์ตเหล่านี้ถูกปิดบนเซิร์ฟเวอร์ของเรา คุณจะไม่สามารถอ่านบทความนี้ได้ พอร์ตแบบปิดทำให้เครือข่ายของคุณ (และเซิร์ฟเวอร์ของเรา) ปลอดภัยจากแฮกเกอร์

เว็บพอร์ตของเราอาจเปิดอยู่ แต่พอร์ตของเราเตอร์ที่บ้านของคุณไม่ควรเปิดอยู่ เนื่องจากจะเป็นการเปิดช่องโหว่ให้กับแฮ็กเกอร์ที่เป็นอันตราย อย่างไรก็ตาม คุณอาจต้องอนุญาตให้เข้าถึงอุปกรณ์ของคุณผ่านอินเทอร์เน็ตโดยใช้การส่งต่อพอร์ตเป็นครั้งคราว เพื่อช่วยให้คุณเรียนรู้เพิ่มเติมเกี่ยวกับการส่งต่อพอร์ต นี่คือสิ่งที่คุณจำเป็นต้องรู้

การส่งต่อพอร์ตคืออะไร?

การส่งต่อพอร์ตเป็นกระบวนการบนเราเตอร์เครือข่ายท้องถิ่นที่ส่งต่อความพยายามในการเชื่อมต่อจากอุปกรณ์ออนไลน์ไปยังอุปกรณ์เฉพาะบนเครือข่ายท้องถิ่น นี่เป็นเพราะกฎการส่งต่อพอร์ตบนเราเตอร์เครือข่ายของคุณที่ตรงกับความพยายามเชื่อมต่อกับพอร์ตและที่อยู่ IP ที่ถูกต้องของอุปกรณ์บนเครือข่ายของคุณ

เครือข่ายท้องถิ่นอาจมีที่อยู่ IP สาธารณะเดียว แต่อุปกรณ์แต่ละเครื่องในเครือข่ายภายในของคุณมี IP ภายในของตัวเอง การส่งต่อพอร์ตเชื่อมโยงคำขอภายนอกเหล่านี้จาก A (IP สาธารณะและพอร์ตภายนอก) ไปยัง B (พอร์ตที่ร้องขอและที่อยู่ IP ภายในเครื่องของอุปกรณ์บนเครือข่ายของคุณ) 

เพื่ออธิบายว่าเหตุใดสิ่งนี้จึงมีประโยชน์ ลองจินตนาการว่าเครือข่ายในบ้านของคุณเป็นเหมือนป้อมปราการยุคกลาง ในขณะที่คุณมองออกไปนอกกำแพงได้ คนอื่นไม่สามารถมองเข้ามาหรือทำลายแนวป้องกันของคุณได้—คุณปลอดภัยจากการถูกโจมตี 

ด้วยไฟร์วอลล์เครือข่ายแบบบูรณาการ เครือข่ายของคุณอยู่ในตำแหน่งเดิม คุณสามารถเข้าถึงบริการออนไลน์อื่นๆ เช่น เว็บไซต์หรือเซิร์ฟเวอร์เกมได้ แต่ผู้ใช้อินเทอร์เน็ตรายอื่นไม่สามารถเข้าถึงอุปกรณ์ของคุณได้เป็นการตอบแทน สะพานชักถูกยกขึ้น เนื่องจากไฟร์วอลล์ของคุณบล็อกความพยายามจากการเชื่อมต่อภายนอกที่จะละเมิดเครือข่ายของคุณ

อย่างไรก็ตาม มีบางสถานการณ์ที่ระดับการป้องกันนี้ไม่เป็นที่พึงปรารถนา หากคุณต้องการเรียกใช้เซิร์ฟเวอร์บนเครือข่ายในบ้านของคุณ ( เช่น ใช้ Raspberry Piเป็นต้น) จำเป็นต้องมีการเชื่อมต่อภายนอก 

นี่คือที่มาของการส่งต่อพอร์ต เนื่องจากคุณสามารถส่งต่อคำขอภายนอกเหล่านี้ไปยังอุปกรณ์เฉพาะโดยไม่กระทบต่อความปลอดภัยของคุณ

ตัวอย่างเช่น สมมติว่าคุณใช้งานเว็บเซิร์ฟเวอร์ในอุปกรณ์ที่มีที่อยู่ IP ภายใน192.168.1.12 ในขณะที่ที่อยู่ IP สาธารณะของคุณคือ80.80.100.110 คำขอภายนอกไปยังพอร์ต80 ( 80.90.100.110:80 ) จะได้รับอนุญาต ต้องขอบคุณกฎการส่งต่อพอร์ต โดยมีการรับส่งข้อมูลที่ส่งต่อไปยังพอร์ต80ใน192.168.1.12

ในการทำเช่นนี้ คุณจะต้องกำหนดค่าเครือข่ายของคุณให้อนุญาตการส่งต่อพอร์ต จากนั้นสร้างกฎการส่งต่อพอร์ตที่เหมาะสมในเราเตอร์เครือข่ายของคุณ นอกจากนี้ คุณยังอาจต้องกำหนดค่าไฟร์วอลล์อื่นๆ บนเครือข่ายของคุณ รวมถึงไฟร์วอลล์ Windowsเพื่ออนุญาตการรับส่งข้อมูล

ทำไมคุณควรหลีกเลี่ยง UPnP (การส่งต่อพอร์ตอัตโนมัติ)

การตั้งค่าการส่งต่อพอร์ตบนเครือข่ายท้องถิ่นไม่ใช่เรื่องยากสำหรับผู้ใช้ขั้นสูง แต่อาจสร้างความยุ่งยากได้ทุกประเภทสำหรับผู้เริ่มต้น เพื่อช่วยแก้ปัญหานี้ ผู้ผลิตอุปกรณ์เครือข่ายได้สร้างระบบอัตโนมัติสำหรับการส่งต่อพอร์ตที่เรียกว่าUPnP (หรือUniversal Plug and Play )

แนวคิดเบื้องหลัง UPnP คือ (และเป็น) เพื่ออนุญาตให้แอปและอุปกรณ์บนอินเทอร์เน็ตสร้างกฎการส่งต่อพอร์ตบนเราเตอร์ของคุณโดยอัตโนมัติเพื่ออนุญาตการรับส่งข้อมูลจากภายนอก ตัวอย่างเช่น UPnP อาจเปิดพอร์ตโดยอัตโนมัติและส่งต่อการรับส่งข้อมูลสำหรับอุปกรณ์ที่ใช้เซิร์ฟเวอร์เกมโดยไม่จำเป็นต้องกำหนดค่าการเข้าถึงด้วยตนเองในการตั้งค่าเราเตอร์ของคุณ

แนวคิดนี้ยอดเยี่ยม แต่น่าเศร้าที่การดำเนินการมีข้อบกพร่อง—หากไม่เป็นอันตรายอย่างยิ่ง UPnP คือความฝันของมัลแวร์ เนื่องจากมันจะสันนิษฐานโดยอัตโนมัติว่าแอปหรือบริการใดๆ ที่ทำงานบนเครือข่ายของคุณนั้นปลอดภัย เว็บไซต์แฮ็ค UPnP เปิดเผยจำนวนความไม่ปลอดภัยที่แม้แต่ในปัจจุบันยังรวมอยู่ในเราเตอร์เครือข่าย

จากมุมมองด้านความปลอดภัย ควรทำผิดพลาดในด้านของความระมัดระวัง แทนที่จะเสี่ยงต่อความปลอดภัยของเครือข่าย หลีกเลี่ยงการใช้ UPnP สำหรับการส่งต่อพอร์ตอัตโนมัติ (และหากเป็นไปได้ ให้ปิดการใช้งานทั้งหมด) คุณควรสร้างกฎการส่งต่อพอร์ตด้วยตนเองสำหรับแอปและบริการที่คุณเชื่อถือและไม่มีช่องโหว่ที่รู้จักเท่านั้น

วิธีตั้งค่าการส่งต่อพอร์ตบนเครือข่ายของคุณ

หากคุณหลีกเลี่ยง UPnP และต้องการตั้งค่าการส่งต่อพอร์ตด้วยตนเอง โดยปกติคุณสามารถทำได้จากหน้าการดูแลระบบเว็บของเราเตอร์ หากคุณไม่แน่ใจว่าจะเข้าถึงสิ่งนี้ได้อย่างไร โดยปกติแล้ว คุณสามารถค้นหาข้อมูลได้ที่ด้านล่างของเราเตอร์หรืออยู่ในคู่มือเอกสารประกอบของเราเตอร์

คุณสามารถเชื่อมต่อกับหน้าผู้ดูแลระบบของเราเตอร์โดยใช้ที่อยู่เกตเวย์เริ่มต้นสำหรับเราเตอร์ของคุณ โดยทั่วไปจะเป็น192.168.0.1หรือรูปแบบที่คล้ายคลึงกัน พิมพ์ที่อยู่นี้ลงในแถบที่อยู่ของเว็บเบราว์เซอร์ คุณจะต้องตรวจสอบสิทธิ์โดยใช้ชื่อผู้ใช้และรหัสผ่านที่มาพร้อมกับเราเตอร์ของคุณ (เช่นadmin )

การกำหนดค่าที่อยู่ IP แบบคงที่โดยใช้การจอง DHCP

เครือข่ายท้องถิ่นส่วนใหญ่ใช้การจัดสรร IP แบบไดนามิกเพื่อกำหนดที่อยู่ IP ชั่วคราวให้กับอุปกรณ์ที่เชื่อมต่อ หลังจากระยะเวลาหนึ่ง ที่อยู่ IP จะได้รับการต่ออายุ ที่อยู่ IP ชั่วคราวเหล่านี้อาจถูกนำไปรีไซเคิลและนำไปใช้ที่อื่น และอุปกรณ์ของคุณอาจมีการกำหนดที่อยู่ IP ในเครื่องที่แตกต่างกัน

อย่างไรก็ตาม การส่งต่อพอร์ตกำหนดให้ที่อยู่ IP ที่ใช้สำหรับอุปกรณ์ภายในยังคงเหมือนเดิม คุณสามารถกำหนดที่อยู่ IP แบบคงที่ได้ด้วยตนเอง แต่เราเตอร์เครือข่ายส่วนใหญ่อนุญาตให้คุณกำหนดการจัดสรรที่อยู่ IP แบบคงที่ให้กับอุปกรณ์บางอย่างในหน้าการตั้งค่าเราเตอร์ของคุณโดยใช้การจอง DHCP

ขออภัย ผู้ผลิตเราเตอร์แต่ละรายแตกต่างกัน และขั้นตอนที่แสดงในภาพหน้าจอด้านล่าง (ทำโดยใช้เราเตอร์ TP-Link) อาจไม่ตรงกับเราเตอร์ของคุณ หากเป็นกรณีนี้ คุณอาจต้องตรวจสอบเอกสารประกอบของเราเตอร์เพื่อรับการสนับสนุนเพิ่มเติม

ในการเริ่มต้น ให้เข้าไปที่หน้าการดูแลเว็บของเราเตอร์เครือข่ายของคุณโดยใช้เว็บเบราว์เซอร์ของคุณ และรับรองความถูกต้องโดยใช้ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบของเราเตอร์ เมื่อคุณลงชื่อเข้าใช้แล้ว ให้เข้าถึงพื้นที่การตั้งค่า DHCP ของเราเตอร์

คุณอาจสามารถสแกนหาอุปกรณ์ภายในที่เชื่อมต่ออยู่แล้ว (เพื่อป้อนกฎการจัดสรรที่จำเป็นโดยอัตโนมัติ) หรือคุณอาจต้องระบุที่อยู่MAC เฉพาะสำหรับอุปกรณ์ที่คุณต้องการกำหนด IP แบบคงที่ให้ สร้างกฎโดยใช้ที่อยู่ MAC ที่ถูกต้องและที่อยู่ IP ที่คุณต้องการใช้ จากนั้นบันทึกรายการ

การสร้างกฎการส่งต่อพอร์ตใหม่

หากอุปกรณ์ของคุณมี IP แบบคงที่ (ตั้งค่าด้วยตนเองหรือสงวนไว้ในการตั้งค่าการจัดสรร DHCP ของคุณ) คุณสามารถย้ายไปสร้างกฎการส่งต่อพอร์ตได้ ข้อกำหนดสำหรับสิ่งนี้อาจแตกต่างกันไป ตัวอย่างเช่น เราเตอร์ TP-Link บางตัวเรียกคุณสมบัตินี้ว่าVirtual Serversในขณะที่เราเตอร์ Cisco อ้างถึงโดยใช้ชื่อมาตรฐาน ( Port Forwarding )

ในเมนูที่ถูกต้องบนหน้าการดูแลระบบเว็บของเราเตอร์ ให้สร้างกฎการส่งต่อพอร์ตใหม่ กฎจะต้องมี พอร์ต ภายนอก (หรือช่วงพอร์ต) ที่คุณต้องการให้ผู้ใช้ภายนอกเชื่อมต่อด้วย พอร์ตนี้เชื่อมโยงกับที่อยู่ IP สาธารณะของคุณ (เช่น พอร์ต80สำหรับ IP สาธารณะ80.80.30.10 )

คุณจะต้องกำหนด พอร์ต ภายในที่คุณต้องการส่งต่อการรับส่งข้อมูลจาก พอร์ต ภายนอกไป ซึ่งอาจเป็นพอร์ตเดียวกันหรือพอร์ตสำรองก็ได้ (เพื่อซ่อนจุดประสงค์ของการรับส่งข้อมูล) คุณจะต้องระบุที่อยู่ IP แบบคงที่สำหรับอุปกรณ์ภายในเครื่อง ของคุณ (เช่น 192.168.0.10 ) และโปรโตคอลพอร์ตที่ใช้งานอยู่ (เช่น TCP หรือ UDP)

ขึ้นอยู่กับเราเตอร์ของคุณ คุณอาจสามารถเลือกประเภทบริการเพื่อเติมข้อมูลกฎที่จำเป็นโดยอัตโนมัติ (เช่นHTTPสำหรับพอร์ต 80 หรือHTTPSสำหรับพอร์ต 443) เมื่อคุณกำหนดค่ากฎแล้ว ให้บันทึกเพื่อใช้การเปลี่ยนแปลง

ขั้นตอนเพิ่มเติม

เราเตอร์เครือข่ายของคุณควรใช้การเปลี่ยนแปลงกับกฎไฟร์วอลล์ของคุณโดยอัตโนมัติ ความพยายามในการเชื่อมต่อภายนอกใดๆ ที่ทำกับพอร์ตที่เปิดอยู่ควรส่งต่อไปยังอุปกรณ์ภายในโดยใช้กฎที่คุณสร้างขึ้น แม้ว่าคุณอาจต้องสร้างกฎเพิ่มเติมสำหรับบริการที่ใช้หลายพอร์ตหรือช่วงของพอร์ต

หากคุณประสบปัญหา คุณอาจต้องพิจารณาเพิ่มกฎไฟร์วอลล์เพิ่มเติมให้กับซอฟต์แวร์ไฟร์วอลล์ของพีซีหรือ Mac (รวมถึงไฟร์วอลล์ Windows) เพื่อให้ทราฟฟิกผ่านได้ ไฟร์วอลล์ Windows มักจะไม่อนุญาตให้มีการเชื่อมต่อภายนอก ตัวอย่างเช่น คุณอาจต้องกำหนดค่านี้ในเมนูการตั้งค่า Windows

หากไฟร์วอลล์ Windows ทำให้คุณมีปัญหา คุณสามารถปิดใช้งานชั่วคราวเพื่อตรวจสอบ อย่างไรก็ตาม เนื่องจากความเสี่ยงด้านความปลอดภัย เราขอแนะนำให้คุณเปิดใช้งาน Windows Firewall อีกครั้งหลังจากที่ คุณแก้ไขปัญหาแล้ว เนื่องจากเป็นการป้องกันเพิ่มเติมสำหรับความพยายามในการแฮ็กที่อาจเกิดขึ้น

การรักษาความปลอดภัยเครือข่ายในบ้านของคุณ

คุณได้เรียนรู้วิธีตั้งค่าการส่งต่อพอร์ตแล้ว แต่อย่าลืมความเสี่ยง แต่ละพอร์ตที่คุณเปิดจะเพิ่มช่องโหว่ผ่านไฟร์วอลล์ของเราเตอร์ของคุณ ซึ่งเครื่องมือสแกนพอร์ตสามารถค้นหาและใช้งานในทางที่ผิดได้ หากคุณจำเป็นต้องเปิดพอร์ตสำหรับแอพหรือบริการบางอย่าง ตรวจสอบให้แน่ใจว่าคุณจำกัดพอร์ตเหล่านั้นไว้เฉพาะแต่ละพอร์ต แทนที่จะเป็นพอร์ตขนาดใหญ่ที่อาจถูกเจาะได้

หากคุณกังวลเกี่ยวกับเครือข่ายในบ้าน คุณสามารถเพิ่มความปลอดภัย ให้กับเครือข่ายได้โดยเพิ่มไฟร์วอลล์ของบุคคลที่สาม นี่อาจเป็นซอฟต์แวร์ไฟร���วอลล์ที่ติดตั้งบนพีซีหรือ Mac ของคุณ หรือไฟร์วอลล์ฮาร์ดแวร์ที่เปิดตลอด 24 ชั่วโมงทุกวัน เช่นFirewalla Goldที่เชื่อมต่อกับเราเตอร์เครือข่ายเพื่อปกป้องอุปกรณ์ทั้งหมดของคุณพร้อมกัน