Konfiguriranje vmesnika Forward Port v sistemu Windows

V sistemu Windows, začenši z Windows XP, obstaja vgrajena možnost namestitve posredovanje / posredovanje pristanišč (pristanišče za posredovanje) Zaradi te funkcije lahko dohodno povezavo TCP (IPv4 ali IPv6) do katerega koli lokalnega pristanišča) preusmerite na drugo vrata ali celo na vrata na oddaljenem računalniku. Poleg tega ni nujno, da ima sistem na tem pristanišču storitev poslušanja.

V Linuxu je posredovanje vrat prek iptables precej preprosto. V sistemih Windows Server usmerjanje vrat običajno uporablja storitev usmerjanja in oddaljenega dostopa (RRAS). Vendar pa obstaja enostavnejši način konfiguriranja vrat za posredovanje, ki deluje enako dobro v kateri koli različici sistema Windows..

Posredovanje vrat Windows je konfigurirano iz ukazne vrstice skozi način Portproxy Netsh ekipe. Sintaksa ukaza je naslednja:
netsh vmesnik portproxy dodaj v4tov4 listenaddress = localaddress listeport = localport connectaddress = destaddress connectport = destport
kje,

  • poslušalka - lokalni IP naslov, na katerega bo pričakovana povezava
  • poslušalstvo - lokalno TCP vrata za poslušanje (dohodna povezava bo pričakovana na njem)
  • vezna adresa - lokalni ali oddaljeni naslov IP ali DNS ime, na katerega je treba preusmeriti dohodno povezavo
  • connectport - TCP vrata, na katera bo preusmerjena povezava s pristanišča za poslušanje

Recimo, da je naša naloga, da se storitev RDP odzove na nestandardna vrata, na primer 3340 (seveda se ta vrata lahko spremenijo v nastavitvah same storitve, vendar RDP uporabimo za poenostavitev prikaza tehnike preusmeritve). Če želite to narediti, moramo dohodni promet preusmeriti na vrata TCP 3340 na drugo lokalno pristanišče - 3389 (standardni rdp port).

Opomba. Ta vrata ne smejo poslušati v sistemu drugi servisi.

Zaženite ukazno vrstico s skrbniškimi pravicami in izvedite.

netsh vmesnik portproxy dodaj v4tov4 listeport = 3340 listenaddress = 10.10.1.110 connectport = 3389 connectaddress = 10.10.1.110

Kjer je 10.10.1.110 trenutni IP naslov tega računalnika

S pomočjo Netstata preverimo, ali se v računalniku posluša vrata 3340:

netstat -ano | findstr: 3340

Opomba. Če ta ukaz ne vrne ničesar in posredovanje vrat prek mrežnega vmesnika portproxy ne deluje, preverite, ali je v vašem sistemu omogočena storitev iphlpsvc (IP Helper / IP Helper Service).

Na omrežnem vmesniku, za katerega se ustvarja pravilo posredovanja vrat, mora biti omogočena podpora IPv6.

To so predpogoji za pravilno delovanje posredovanja vrat. Brez omogočenega IP Helperja in IPv6 mehanizem za preusmeritev ne deluje.

Postopek, ki posluša ta vrata, lahko določite s svojim PID-om (v našem primeru je PID 636):

seznam opravil | findstr 636

S tem računalnikom se bomo poskušali povezati z oddaljenega sistema s pomočjo katerega koli odjemalca rdp. Kot vrata rdp morate navesti 3340 (vrata so določena za dvopičje po naslovu strežnika rdp), na primer 10.10.1.110:3340:

Povezava se mora uspešno vzpostaviti.

Je pomembno. Preverite, ali so v nastavitvah požarnega zidu (požarni zid Windows ali zunanji požarni zid, ki so pogosto vključeni v protivirusno programsko opremo) dovoljene vhodne povezave na novo vrata. Po potrebi lahko v požarni zid Windows dodate novo pravilo z ukazom:

netsh advfirewall firewall dodaj ime pravila = "RDP_3340" protokol = TCP dir = in localip = 10.10.1.110 localport = 3340 action = dovoli

Pri ustvarjanju pravila za dohodni požarni zid prek grafičnega vmesnika za vrata 3340 vam ni treba povezati nobenega programa, ker ta vrata posluša izključno omrežni gonilnik.

Ustvarite lahko poljubno število pravil za posredovanje vrat Windows. Vsa pravila portala proxy za vmesnik so trajna in obstajajo v sistemu po ponovnem zagonu sistema Windows.

Prikažemo seznam vseh pravil za posredovanje TCP vrat v sistemu:

netsh vmesnik portproxy prikaži vse

V našem primeru obstaja samo eno pravilo posredovanja iz vrat 3340 do 3389:

Poslušaj v ipv4: Poveži se z ipv4:
Naslov Port Naslov Port
--------------- ----------  --------------- ----------
10.10.1.110 3340 10.10.1.110 3389

Namig. Nastavitve načina portproxy lahko dobite tudi takole:
netsh vmesnik portproxy smetišče
# ===========================
# Konfiguracija proxy porta
# ===========================
pushd vmesnik portproxy
ponastaviti
dodaj v4tov4 listeport = 3340 connectaddress = 10.10.1.110 connectport = 3389
popd
# Konec konfiguracije proxy porta

Če želite odstraniti določeno pravilo za preusmeritev:

netsh vmesnik portproxy delete v4tov4 listeport = 3340 listenaddress = 10.10.1.110

Če želite izbrisati vsa razpoložljiva pravila za preusmeritev:

netsh ponastaviti portproxy vmesnika 
Je pomembno. Takšna shema preusmeritve deluje samo za vrata TCP ... Promet na vratih UDP ni mogoče preusmeriti. Prav tako ne morete uporabiti naslova 127.0.0.1 kot povezave.

Če morate dohodno povezavo TCP preusmeriti na drug računalnik, lahko ukaz izgleda takole:

netsh vmesnik portproxy dodajte v4tov4 listeport = 3389 listenaddress = 0.0.0.0 connectport = 3389 connectaddress = 192.168.1.100

To pravilo bo preusmerilo vse dohodne zahteve RDP (na vrata 3389) iz tega računalnika na oddaljeni računalnik z naslovom IP 192.168.1.100

Druga implicitna lastnost portproxy je sposobnost ustvarjanja videza lokalnega delovanja katere koli oddaljene omrežne storitve.

Na primer ustvarimo takšno preusmeritev iz lokalnega pristanišča 8888 na oddaljeni naslov 213.180.204.3:

netsh vmesnik portproxy dodajte v4tov4 listeport = 8888 connectport = 80 connectaddress = 213.180.204.3 protokol = tcp

Zdaj, če v brskalniku pojdite na naslov http: // localhost: 8888 /, se odpre začetna stran Yandexa. I.e. kljub temu, da brskalnik dostopa do lokalnega računalnika, odpre oddaljeno stran.

Posredovanje vrat lahko uporabite tudi za posredovanje vrat z zunanjega naslova omrežne kartice na vrata na virtualnem računalniku, ki deluje na istem računalniku.

Obstajali so tudi primeri, ko so v sistemu Windows Server 2012 R2 pravila za posredovanje vrat delovala le do ponovnega zagona sistema in po ponovnem zagonu. V tem primeru morate preveriti, ali obstajajo občasne zaustavitve na omrežnem vmesniku in ali se IP naslov ne spremeni, ko se sistem zažene (bolje je uporabiti statični IP). Za reševanje sem moral v urejevalnik sistema Windows dodati skript s pravili portala proxy za vmesnik netsh, ki se zažene, ko se sistem zažene.

Za preusmeritev v sistem Windows Server 2003 / XP morate dodatno omogočiti nastavitev registra IPEnableRouter = 1 v panogi HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parametri