Проброс портов — перенаправление входящего трафика из интернета
на конкретное устройство внутри локальной сети.
По умолчанию все устройства в LAN скрыты за NAT — снаружи их не видно.
Проброс портов открывает доступ к конкретному устройству через конкретный порт.
Интернет → 95.x.x.x:80 → Роутер → 192.168.1.10:80
IP → Firewall → NAT → Add (+)
Есть сервер в локальной сети: 192.168.1.10.
Нужно открыть к нему доступ из интернета на порт 80.
Вкладка General:
Chain: dstnat
Protocol: tcp
Dst-Port: 80
Вкладка Action:
Action: dst-nat
To-Address: 192.168.1.10
To-Port: 80
Теперь запрос на 95.x.x.x:80 попадёт на 192.168.1.10:80.
Нужен SSH-доступ к серверу 192.168.1.20 из интернета.
Чтобы не светить стандартный порт 22 — пробросим внешний порт 2222.
Вкладка General:
Chain: dstnat
Protocol: tcp
Dst-Port: 2222
Вкладка Action:
Action: dst-nat
To-Address: 192.168.1.20
To-Port: 22
Подключение снаружи:
ssh user@95.x.x.x -p 2222
Роутер перенаправит запрос на 192.168.1.20:22.
Открывайте только нужные порты
Каждый открытый порт — потенциальная точка входа.
Не нужен порт снаружи — не пробрасывайте.
Добавьте правило в Firewall
Проброс через NAT работает, но для полного контроля —
добавьте разрешающее правило в Filter Rules:
IP → Firewall → Filter Rules → Add (+)
Chain: forward
Protocol: tcp
Dst-Port: 80
Dst-Address: 192.168.1.10
Action: accept
Ограничьте доступ по IP
Если SSH или админка нужны только вам — разрешите подключение только с вашего IP:
Chain: dstnat
Protocol: tcp
Dst-Port: 2222
Src-Address: ваш_IP
| Что пробросили | Внешний порт | Внутренний адрес | Внутренний порт |
|---|---|---|---|
| Веб-сервер | 80 | 192.168.1.10 | 80 |
| SSH | 2222 | 192.168.1.20 | 22 |
Проброс портов открывает доступ к устройствам в LAN из интернета.
Чем меньше открытых портов — тем безопаснее сеть.