Chuyển tiếp cổng nghe có vẻ phức tạp hơn nhiều so với thực tế. Nó giống như nhận một chồng thư trong hộp thư của bạn và sau đó phát từng thư cho các thành viên gia đình có liên quan.
Chuyển tiếp cổng thường liên quan đến chơi game, nhưng có những cách sử dụng khác. Dưới đây, chúng tôi giải thích cổng là gì, tại sao chúng cần được chuyển tiếp, cách thiết lập chuyển tiếp cổng trên bộ định tuyến thông thường và các trường hợp phổ biến có thể được giải quyết bằng chuyển tiếp cổng.
Cổng là gì?
Bạn có thể đã biết địa chỉ IP là gì. Mọi thiết bị trên mạng của bạn (điện thoại thông minh, máy tính, bảng điều khiển hoặc bất kỳ thiết bị nào khác được cắm vào bộ định tuyến hoặc kết nối với Wi-Fi) đều được cấp một địa chỉ IP. Nhưng có hai loại địa chỉ IP: công khai và riêng tư.
Địa chỉ IP công cộng là những gì các máy tính khác trên internet nhìn thấy khi bạn kết nối với chúng. Nó được Nhà cung cấp dịch vụ Internet (ISP) gán cho modem của bạn. Bạn có thể sử dụng Google hoặc DuckDuckGo để kiểm tra địa chỉ IP công khai của mình. Tìm kiếm “địa chỉ IP của tôi là gì?” và thế là xong.
Mặt khác, các địa chỉ IP riêng được sử dụng trên các mạng nội bộ—các thiết bị được kết nối với cùng một bộ định tuyến. Đôi khi chúng cần “nói chuyện” với nhau, chẳng hạn như truyền tệp giữa hai máy tính hoặc sử dụng máy in mạng.
Tóm lại, IP công cộng giống như địa chỉ nhà của bạn—bao gồm mã zip, tên đường phố và số tòa nhà—còn IP riêng sẽ là số căn hộ, chỉ hữu ích khi bạn vào trong. Bạn không thể gửi một bức thư từ bất cứ nơi nào trên thế giới đến “Căn hộ 603”.
Khi bạn truy cập một trang web cũng vậy: bạn đang yêu cầu trả lại một số dữ liệu cho thiết bị của mình. Để làm điều đó, máy chủ web phải được cung cấp địa chỉ IP công khai và riêng tư của bạn. Dữ liệu được gửi lại từ trang web, đầu tiên đến bộ định tuyến của bạn với IP công cộng, sau đó đến thiết bị của bạn với IP riêng.
Điều này khá dễ dàng khi chúng ta chỉ nói về việc duyệt web, nhưng điều gì sẽ xảy ra khi bạn yêu cầu các loại dữ liệu khác nhau—chẳng hạn như email hoặc nơi kẻ thù đã di chuyển trong trò chơi nhiều người chơi? Làm thế nào để máy tính của bạn biết dữ liệu sẽ được cung cấp cho ứng dụng nào? Sẽ không đặc biệt hữu ích nếu gửi email mới nhất của bạn tới Call of Duty.
Đó là nơi các cổng đi vào.
Cổng mạng truyền dữ liệu trực tiếp như thế nào?
Các cổng giống như các ống phân loại thư bên trong máy tính. Khi dữ liệu đến thiết bị của bạn, hệ điều hành sẽ kiểm tra số cổng dành cho dữ liệu đó. Mỗi cổng có thể tương ứng với một ứng dụng khác nhau và có 65536 cổng trong số đó.
1024 đầu tiên trong số này được tiêu chuẩn hóa. Ví dụ: lưu lượng truy cập web không bảo mật đi qua cổng 80, trong khi trang web bảo mật sử dụng cổng 443. Email qua POP3 sử dụng cổng 110 nhưng email SMTP gửi đi sử dụng cổng 25. Wikipedia có danh sách đầy đủ các cổng tiêu chuẩn.
Vì vậy, khi bạn mở một trang web HTTPS, dữ liệu sẽ trả về máy tính của bạn theo thứ tự sau: IP công cộng (địa chỉ modem/đường phố của bạn), IP riêng (máy tính của bạn trong mạng nội bộ/số căn hộ của bộ định tuyến) và cuối cùng là cổng 443 (ứng dụng đã sử dụng HTTPS/tên của bạn trong phong bì thư).
Từ cổng 1025 đến 65536, không có định nghĩa nghiêm ngặt. Đây là do thiết kế. Các ứng dụng mới được tạo ra hàng ngày và cần phải có sẵn các đường dẫn đến trang web. Nếu một phần mềm duy nhất sử dụng độc quyền một trong các cổng này, ngay cả khi có mặt trong hàng triệu máy tính, thì hàng triệu máy tính khác sẽ không thể sử dụng cổng đó.
Các ứng dụng được kết nối với web có thể chọn cổng mà chúng muốn sử dụng. Mặc dù nghe có vẻ khó khăn và tốn thời gian, nhưng có một giải pháp: Universal Plug and Play (UPnP).
UPnP là gì và nó hoạt động như thế nào?
Việc luôn mở tất cả các cổng là một rủi ro bảo mật rất lớn, vì vậy bất kỳ cổng không chuẩn nào (cổng 1025+) đều bị chặn theo mặc định trên hầu hết các bộ định tuyến. Điều này ngăn các yêu cầu độc hại tiếp cận các dịch vụ có thể đang chạy trên mạng của bạn. Tuy nhiên, các cổng bị đóng cũng gây rắc rối cho các ứng dụng trực tuyến—bộ định tuyến sẽ chỉ chặn nó như một tính năng bảo mật.
Do đó, họ cần nói với bộ định tuyến, “Này, tôi đang sử dụng cổng này; hãy để nó mở.”
UPnP được phát minh để tự động hóa quy trình này. Các ứng dụng có thể yêu cầu mở một cổng và bộ định tuyến sẽ tự động thiết lập các quy tắc chuyển tiếp cổng được yêu cầu. Điều này không đến mà không có rủi ro. Ví dụ: nếu phần mềm độc hại được cài đặt trên máy tính của bạn, phần mềm độc hại đó sẽ được bộ định tuyến tin cậy, do đó có thể mở các cổng cho các hoạt động độc hại.
Vì UPnP có thể nguy hiểm nếu bị khai thác nên nhiều người vô hiệu hóa nó. Một ví dụ phổ biến mà UPnP sẽ bị vô hiệu hóa là nhóm CNTT tại một công ty lớn. Thông thường, mỗi bộ phận yêu cầu một bộ chương trình cụ thể. Mọi người đều sử dụng email, nhưng quản lý bảng lương trực tuyến chủ yếu dành cho bộ phận Nhân sự và Tài chính, và không chắc ai đó không thuộc bộ phận hỗ trợ khách hàng sẽ yêu cầu ZenDesk.
Trong những trường hợp như vậy, UPnP bị tắt và các cổng cần thiết cho quy trình làm việc của mỗi nhóm chỉ được mở cho các máy tính cần chúng. Điều đó nói rằng, ngay cả khi bạn chưa tắt UPnP, đôi khi nó không hoạt động bình thường. Vì vậy, hãy xem cách bạn có thể tạo quy tắc chuyển tiếp cổng theo cách thủ công.
Vô hiệu hóa UPnP và sử dụng chuyển tiếp cổng thủ công
Bất kỳ ai cũng có thể tắt UPnP tại nhà để tăng cường bảo mật—điều này cho phép kiểm soát chi tiết cổng nào được mở cho mỗi thiết bị. Chỉ cần làm theo các hướng dẫn dưới đây.
Bước 0: Những gì bạn cần để chuyển tiếp cổng
Để thiết lập chuyển tiếp cổng thành công, bạn cần một số thông tin. Nó không phải là một danh sách dài:
- Địa chỉ IP của bộ định tuyến để truy cập trang quản trị bộ định tuyến của bạn. Thông thường, có một nhãn dán liệt kê điều này trên bộ định tuyến, cùng với tên người dùng và mật khẩu mặc định. Nếu bạn không chắc chắn, Port Forward sẽ liệt kê các địa chỉ bộ định tuyến mặc định của nhà sản xuất.
- Cổng (hoặc phạm vi cổng) nào cần được chuyển tiếp—phần mềm yêu cầu chuyển tiếp cổng sẽ liệt kê chúng.
- Địa chỉ IP riêng cho thiết bị sẽ mở cổng. Chúng tôi có hướng dẫn về cách tìm địa chỉ IP riêng của bạn trên:
- Một số ứng dụng cũng chỉ định xem chúng sử dụng gói UDP hay TCP. Sự khác biệt không quan trọng và bạn có thể chọn cả hai—không có tác dụng phụ hoặc rủi ro bảo mật nào khi làm như vậy.
Nhiều bộ định tuyến hiện đại có các ứng dụng tích hợp để cấu hình bộ định tuyến dễ dàng. Tất nhiên, không đảm bảo có các tùy chọn chuyển tiếp cổng, nhưng nó có thể tiết kiệm vài phút.
Bước 1: Vô hiệu hóa UPnP
Trước khi tiếp tục, đây là một vài lưu ý:
- Hướng dẫn chuyển tiếp cổng sau sử dụng bộ kết hợp modem/bộ định tuyến Nokia G-140W-H. Bộ định tuyến của các nhà sản xuất khác sử dụng các menu khác nhau, nhưng cách diễn đạt phải giống nhau.
- Nếu bạn sử dụng kết hợp modem/bộ định tuyến và không thể tìm thấy các tùy chọn chuyển tiếp cổng/UPnP, ISP của bạn có thể chặn các cài đặt này. Trong những trường hợp như vậy, hãy liên hệ với bộ phận hỗ trợ khách hàng của nhà cung cấp.
- Chuyển tiếp cổng cần được thiết lập cho từng ứng dụng trong từng thiết bị. UPnP chỉ cần tắt một lần vì nó ảnh hưởng đến toàn bộ bộ định tuyến.
Trang chủ của bộ định tuyến sẽ hiển thị sau khi đăng nhập. Đối với Nokia G-140W-H, các menu nằm ở phía bên trái, với UPnP và chuyển tiếp cổng bên dưới Ứng dụng.
Vô hiệu hóa UPnP trong hầu hết các trường hợp cũng dễ dàng như bỏ chọn nút chuyển đổi và nhấp vào Lưu/Áp dụng. Nếu tùy chọn này đã bị tắt thì không cần thực hiện hành động nào.
Bước 2: Kích hoạt chuyển tiếp cổng
Khi UPnP bị tắt, đã đến lúc mở các cổng cần thiết cho các ứng dụng của bạn.
Nhiều bộ định tuyến liệt kê hàng tá phần mềm/thiết bị phổ biến cần chuyển tiếp cổng. Hầu hết trong số chúng là trò chơi, nhưng cũng có các tiện ích IoT, ứng dụng chia sẻ tệp, trình nhắn tin tức thì, v.v.
Nếu ứng dụng hoặc thiết bị không được liệt kê, bạn sẽ cần tạo quy tắc chuyển tiếp cổng tùy chỉnh. Điều đó có vẻ dễ dàng hơn và mọi thứ bạn cần đều được liệt kê trong Bước 0 ở phần đầu của hướng dẫn này. Nhập cổng (hoặc phạm vi cổng) và đặt tên cho quy tắc mới. Số cổng WAN và LAN phải giống nhau.
Cho dù ứng dụng hoặc dịch vụ có được liệt kê hay không, bạn cần chỉ ra thiết bị nào cần chuyển tiếp cổng đó. World of Warcraft vẫn không hoạt động nếu được liên kết với điện thoại của bạn thay vì máy tính chạy trò chơi.
Một số bộ định tuyến mới hơn ghi nhớ các thiết bị theo tên của chúng, được thiết lập trong chính thiết bị đó. Bằng cách này, tính năng chuyển tiếp cổng hoạt động ngay cả khi địa chỉ IP riêng thay đổi—thêm thông tin về điều đó trong phần Khắc phục sự cố. Đối với các bộ định tuyến không có tính năng này, bạn sẽ cần địa chỉ IP riêng, địa chỉ này cũng được đề cập trong Bước 0.
Kiểm tra lại mọi thứ, nhấp vào Lưu/Áp dụng, và bạn đã sẵn sàng để đi. Khởi động lại bộ định tuyến là không cần thiết nhưng cũng không ảnh hưởng gì.
Điều quan trọng cần nhớ là mỗi ứng dụng cần chuyển tiếp cổng phải được thiết lập quy tắc chuyển tiếp cổng trên mỗi thiết bị được cài đặt. Ví dụ: nếu bạn có ba máy tính chạy cùng một phần mềm, bạn sẽ cần tạo quy tắc cho từng máy tính. Điều tương tự cũng xảy ra với một máy tính có các chương trình khác nhau yêu cầu chuyển tiếp cổng. Mọi phần mềm đều yêu cầu quy tắc riêng cho thiết bị đó.
Khắc phục sự cố chuyển tiếp cổng
Bạn đã tắt UPnP và tính năng chuyển tiếp cổng đã được thiết lập. Bạn khởi chạy ứng dụng và… Không có kết nối. Vấn đề xảy ra, vì vậy hãy thử một số giải pháp.
Đầu tiên, hãy kiểm tra lại xem các cài đặt đã chính xác chưa. Rất dễ gõ “192.168.1.29” thay vì “192.168.1.19” hoặc nhầm số cổng.
Trên trang chuyển tiếp cổng, xác nhận cùng một thiết bị vẫn sử dụng địa chỉ IP riêng mà bạn đã chọn để chuyển tiếp cổng. Nếu bộ định tuyến đã khởi động lại, địa chỉ IP có thể đã thay đổi. Nhiều bộ định tuyến tự động khởi động lại sau bất kỳ thay đổi cấu hình nào và các tổ hợp modem/bộ định tuyến xử lý cài đặt ISP khởi động lại thường xuyên.
Ví dụ: bạn đã định cấu hình chuyển tiếp cổng cho 10.0.0.4, là điện thoại của bạn, nhưng sau khi khởi động lại, bộ định tuyến đã gán địa chỉ này cho TV của bạn.
Trong trường hợp này, bạn sẽ cần liên kết MAC, liên kết địa chỉ MAC (Kiểm soát truy cập phương tiện, mã định danh duy nhất cho bộ điều hợp mạng) với một IP tĩnh. Bằng cách này, bất cứ khi nào thiết bị đó kết nối với bộ định tuyến đó, nó sẽ có cùng một IP. Chúng tôi có một hướng dẫn đầy đủ về liên kết MAC, được sử dụng cho nhiều mục đích hơn là chỉ chuyển tiếp cổng. Đó không phải là nội dung của bài viết này, vì vậy chúng tôi sẽ không đi vào chi tiết.
Bạn có thể khắc phục sự cố chuyển tiếp cổng Double-NAT không?
Một vấn đề chuyển tiếp cổng phổ biến khác là NAT kép.
Nhớ những địa chỉ IP? Chuyển tiếp cổng sẽ chỉ hữu ích nếu bạn có một địa chỉ IP công cộng duy nhất. Trong một số trường hợp, địa chỉ IP của bạn sẽ được chia sẻ với những người dùng khác. Thực tế, bạn có một lớp định tuyến khác nằm ngoài tầm kiểm soát của mình trước khi tiếp cận internet rộng lớn hơn.
Điều này là phổ biến trong ký túc xá đại học và một số khu chung cư với các tùy chọn internet hạn chế. Chuyển tiếp cổng sẽ không hữu ích trong trường hợp này vì các cổng vẫn sẽ bị chặn trên bộ định tuyến khác mà bạn không thể kiểm soát, vì vậy các gói sẽ không bao giờ đến được bộ định tuyến của bạn. Thật không may, không phải lúc nào cũng có thể khắc phục tình trạng NAT kép.
Nếu bạn có thể định cấu hình cả hai bộ định tuyến, thì bộ định tuyến gần nhất với phía công cộng (thường là bộ do ISP của bạn cung cấp) sẽ được chuyển sang Chế độ cầu. Điều này vô hiệu hóa tất cả các tính năng định tuyến, bao gồm mọi Wi-Fi tích hợp, biến nó thành một modem đơn giản một cách hiệu quả.
Ngoài việc trợ giúp với NAT kép, điều này có thể cần thiết để tinh chỉnh các kết nối gia đình. Ví dụ: người dùng thành thạo có thể ưu tiên bộ định tuyến của riêng họ chạy OpenWRT và một số mạng lưới trở nên đáng tin cậy hơn khi sử dụng modem ở chế độ Cầu nối.
Một số bộ định tuyến do ISP cung cấp không cho phép bạn làm điều này. Nếu điều đó là không thể, bạn cũng có thể muốn thử thiết lập một vùng phi quân sự (khu phi quân sự) trỏ đến bộ định tuyến khác của bạn. Điều đó nằm ngoài phạm vi của hướng dẫn này nhưng về cơ bản có nghĩa là “tin tưởng mọi thứ và chuyển tiếp tất cả lên thiết bị khác này để xử lý.”
Đừng để việc chuyển tiếp cổng làm bạn bối rối
Bạn cần xem xét liệu việc chuyển tiếp cổng có giải quyết được các vấn đề về mạng của bạn hay không. Ví dụ, những lo ngại về an toàn về UPnP sẽ không còn nữa. Tuy nhiên, nếu các trò chơi trực tuyến không kết nối được do NAT kép mà bạn không kiểm soát, việc chuyển tiếp cổng sẽ không giúp ích gì.
Có những mặt tích cực và tiêu cực để chuyển tiếp cổng. Mặc dù chuyển tiếp cổng có thể khắc phục sự cố với trò chơi hoặc thiết bị IoT bị tắt UPnP và thiết lập thủ công của nó trên cơ sở từng ứng dụng mang lại tính bảo mật cao hơn, nhưng đó không phải là tất cả.
Mặt khác, các quy tắc chuyển tiếp cổng phải được cấu hình lại nếu IP riêng thay đổi. Liên kết MAC giúp nhưng không phải lúc nào cũng có thể. Hơn nữa, các cổng cần được chuyển tiếp thủ công cho mọi ứng dụng và thiết bị, điều này có thể gây phiền toái cho các mạng lớn và thậm chí cả các mạng nhỏ.
Vô hiệu hóa UPnP và thiết lập chuyển tiếp cổng là một cách tốt để tăng cường bảo mật mạng, ngay cả khi cấu hình không phải lúc nào cũng đơn giản.
