Серый ip как сделать роутер видным из интернета

Серый ip как сделать роутер видным из интернета

Есть «сервер» с белым ИПом, на нем фряха.
Есть «комп» с серым ИПом.
Нужно чтобы из внешнего мира можно было зайдя через ИП «сервера» на 3000 порт, попасть на 3000 порт «компа».

Туннель SSH между «сервером» и «компом» допустим я сделал, с «сервера» можно попасть в «комп» на нужный порт.

Но как теперь сделать чтобы внешний человек мог попадать на «комп»?

+ (0) или ничего не нужно уже делать? Должно уже работать так как уже сделано?

Проверяем: на «сервере» делаю
telnet 127.0.0.1 3000
попадаю на «комп» как и аоложено.

Если сделать с стороннего компа:
telnet `ИП сервера` 3000
то должен ведь попасть на «комп»? Или не должен? Нужно что-то еще установить или если нчего не мешает то соединение должно произойти?

Что такое «серый IP» в вашем случае? надеюсь не 192.168.X.Y и не 10.X.Y.Z

И да «SSH туннель» это что? Обычно используют VPN в каком то виде и далее маршрутизацию на сервере.

чтобы попасть с компа 2 на комп 1 на сервере должна быть настроена проброска

(4) Ты мне помочь пытаешься? Если не знаешь что такое SSH туннель и серый IP, то не надо.

Обратный туннель в помощь.
ssh user@server -R 3000:localhost:3000 -N
Но туннели работают только для тсп хотя наверное вы знаете

(7) Спасибо, разобрался, работает! Одного обратного туннеля оказалось достаточно, ничего дополнительно настраивать не пришлось.

Еще есть классная вещь autossh которая поднимает туннель если пропала связь. Можно в автозапуск поставить.
Пробовал на виндосе с помощью cgwyn создавать эту службу. Она запускалась, но работала не стабильно. Еще были способы для запуска службы, я их тоже пробовал, но ни один не работал стабильно

(6) Что такое «ssh туннель» я в курсе, но использовать это для двойной проброски это полный изврат.

Но вот не знать что такого однозначного понятия как «серый ip» нету. Есть «фиксированный|статический белый ip», есть «динамический белый ip».

А есть https://ru.wikipedia.org/wiki/Частный_IP-адрес, и что ты обозвал «серым IP» я реально не понял.

Когда такое требование возникло, обеспечить доступ к видеокамерам в отделах без белого ip, то решил через l2tp vpn сервер на vps хостинге куда роутеры подключались и стали доступны все устройства по любым портам.

Серый ип это который за натом. Вроде неоднозначности нет. Использовать впн в данном случае неудобно потому что его сложнее настроить. Потом надо пробросить порт из одной сети в впн. Это настраивать в 10 раз дольше чем. Это не двойная проброска это просто обратный туннель.
«стали доступны все устройства по любым портам». Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

(12) ОК а как обзовешь ip который «за прокси» ?

>»стали доступны все устройства по любым портам». Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают

автоматическая трансляция адресов
подсеть1: 192.168.1.0 и подсеть2 тоже: 192.168.1.0

соединяем через vpn и все адреса подсети2 для доступа из 1-й (или любой иной) становятся вида 192.168.101.X
Т.е. сеть 1: был адрес железки внутри ее 192.168.1.2 192.168.101.2 и аналогично с прочими

доступ к локальной сети через серый ип

дома интернет через роутер,ип серый
хочу сделать доступ к домашней сети через интернет
есть комп в домашней сети с убунтой,есть впс с убунтой,версия роутера RT-N10LX и как я вижу там нет в настройках возможности создать впн куда либо
какое самое простое решение моего вопроса? кроме покупки белого ип у провайдера

kommersant ★★
10.01.21 13:46:02 MSK

Настраивай на роутере проброс портов к своему компу, но для этого нужен фиксированный белый адрес

Shulman ☆
( 10.01.21 15:20:32 MSK )

Подними на VPS VPN сервер, подключайся к нему через VPN клиент на Ubuntu.

Далее если тебе достаточно SSH доступа, то подключившись аналогично к VPS посредством VPN ты сможешь подключиться по SSH к твоему ПК с Ubuntu в случае, если он подключен по VPN к VPS.

Если тебе нужен доступ ко всей локальной сети и не хочется тратить деньги, то:

• отключаешь на роутере DHCP
• на ПК с Ubuntu настраиваешь выход в Internet через роутер, прописывая на нём статический IP и IP роутера шлюзом
• на сетевую карту ПК на Ubuntu добавляешь второй IP из другой сети, чем на роутере
• поднимаешь на ПК с Ubuntu DHCP сервер чтобы он раздавал IP адреса в сеть
• настраиваешь NAT на ПК с Ubuntu, что бы он был шлюзом для локальной сети
• подключаешься к VPS через VPN

Не забудь оставить bridge на роутере между проводным и беспроводным интерфейсом, в таком случае DHCP сервер на ПК с Ubuntu будет выдавать IP адреса и клиентам wifi.

Всё теперь подключившись к VPS посредством VPN ты увидишь свой пк с Ubuntu и прописав маршрут до твоей локальной сети через IP адрес ПК с Ubuntu в VPN сети ты получишь доступ до твоей локальной сети.

Другое возможное решение — прошить OpenWRT или что-то аналогичное в роутер, если для него есть прошивка, то сможешь настроить подключение к VPN на VPS.

Если ты готов потратить деньги — купи mikrotik и замени свой роутер, настрой там VPN.

Ну либо купи действительно внешний IP у провайдера, стоит это не дорого, скорее всего, в районе 100 рублей в месяц сверху.

anonymous
( 10.01.21 15:25:34 MSK )

Дополню, если провайдер предоставляет каждый раз разный внешний IP, но с него доступен роутер, т.е. ты находишься не за NAT, а имеешь всё же прямой IP, хоть и случайный, то можно обойтись сервисом dyndns.

anonymous
( 10.01.21 15:33:44 MSK )
Ответ на: комментарий от anonymous 10.01.21 15:25:34 MSK

ип на роутере такого формата 10.100.139. и не совпадает с ип на 2ip.ru

написанный способ лично для меня сложноват
покупка более функционального роутера сможет упростить настройку?

если точнее то в локалке будет веб камера, и я хочу подключаться к ней из интернета

kommersant ★★
( 10.01.21 15:48:48 MSK ) автор топика

впс нинужен. комп в домашней сети с убунтой тоже
просто используй zerotier или tailscale

theurs ★★
( 10.01.21 15:55:16 MSK )
Ответ на: комментарий от kommersant 10.01.21 15:48:48 MSK

Я думаю, что если для тебя сложно снять галку для отключения DHCP на роутере, поднять DHCP сервер на Ubuntu и далее на ubuntu же настроить подключение к OpenVPN на VPS сервере, то настройку микротик ты тоже не осилишь.

Для тебя самым простым вариантом будет купить внешний IP у провайдера.

Если в твоём роутере есть проброс портов, то только покупки внешнего IP достаточно.

Если проброса портов нет, что вряд ли, то нужно ещё купить и простой роутер с этой функцией. Проброс портов ищи в веб интерфейсе твоего роутера в разделе NAT или firewall.

Я описание твоего роуетра не смотрел.

anonymous
( 10.01.21 15:55:18 MSK )
Ответ на: комментарий от anonymous 10.01.21 15:55:18 MSK

я почему переспросил- вроде же есть сервисы типа noip или хамачи, разве с ними не будет проще?

kommersant ★★
( 10.01.21 15:57:14 MSK ) автор топика
Ответ на: комментарий от kommersant 10.01.21 15:57:14 MSK

Возможно будет проще, но стоит вопрос доверия всем этим сервисам и доступности серверов этих сервисов.

Для себя я бы их не использовал, аналогично с предложенными вариантами Tailscale и второй.

Даже в случае использования Tailscale или второго предложенного варианта другим оратором или хамачи тебе нужно будет установить на компьютер с Ubuntu клиент.

Настроить компьютер с Ubuntu как шлюз для твоей камеры и/или настроить проброс портов на твою камеру.

anonymous
( 10.01.21 16:03:09 MSK )
Ответ на: комментарий от theurs 10.01.21 15:55:16 MSK

А как он будет подключаться к камере? Даже если использовать любой из предложенных тобой сервисов ему нужна система, на которой он сможет настроить проброс портов до камеры либо через которую он сможет прокладывать маршрут до локальной сети.

anonymous
( 10.01.21 16:04:40 MSK )
Ответ на: комментарий от kommersant 10.01.21 15:57:14 MSK

noip для тебя не подойдёт, у тебя нет внешнего IP даже динамического, только может быть хамачи.

Прочти комментарии выше.

anonymous
( 10.01.21 16:09:42 MSK )
Ответ на: комментарий от anonymous 10.01.21 16:09:42 MSK

я тут подумал и возникла мысль- а если на комп установить тимвьювер, или аналог, и с телефона подключится к компу,и уже с компа в браузере открыть вебку
думаю что такой способ может сработать и без дополнительных настроек

kommersant ★★
( 10.01.21 16:31:35 MSK ) автор топика
Ответ на: комментарий от kommersant 10.01.21 16:31:35 MSK

Ну если тебя так устраивает — вперёд.

Разве что непосредственно видео ты может и не увидишь, может оказаться что ты увидишь вместо видео чёрный прямоугольник.

Но даже если и увидишь изображение, то производительность будет крайне низкой. Порядка 10 кадров в секунду.

Ну и плюс тебе нужно будет держать включённым компьютер.

На самом деле оптимальное решение — внешний IP и проброс порта камеры.

Но в любом случае решать тебе.

anonymous
( 10.01.21 16:55:02 MSK )
Ответ на: комментарий от kommersant 10.01.21 16:31:35 MSK

я тут подумал и возникла мысль- а если на комп установить тимвьювер, или аналог

Это точно сработает, самый простой и ленивый метод, насколько это будет надежный канал, если весь мир собрался на «удаленку» а я так понимаю это будет бесплатный (с/з поправьте коллеги) ну и готов ли ты своими данными поделиться с дядей Сэмом?

А где было про камеру? Я упустил. Ну еси че Дзюба не стесняется… а нам чЕ слабо? :)))))

alex_sim ★★★★
( 10.01.21 17:40:30 MSK )
Последнее исправление: alex_sim 10.01.21 17:43:41 MSK (всего исправлений: 2)

Ответ на: комментарий от alex_sim 10.01.21 17:40:30 MSK

камеру после уточнил,чтобы было ясно что доступ нужен не к самому компу,а к устройству из этой сети
на данный момент интересует быстрое решение без долгих установок и настроек и покупок

kommersant ★★
( 10.01.21 18:26:24 MSK ) автор топика
Ответ на: комментарий от kommersant 10.01.21 18:26:24 MSK

Уууу. Наконецто задача то вырисовывается. Это уже другая история.

alex_sim ★★★★
( 10.01.21 19:05:42 MSK )
Последнее исправление: alex_sim 10.01.21 19:06:49 MSK (всего исправлений: 1)

Ответ на: комментарий от alex_sim 10.01.21 19:05:42 MSK

что это меняет? или вебка может при желании транслировать в интернет?

kommersant ★★
( 10.01.21 20:31:15 MSK ) автор топика
Ответ на: комментарий от kommersant 10.01.21 20:31:15 MSK

Меняет то, что предложенные выше способы другим комментаторам обеспечивают доступ только до целевого компьютера или системы, на которую будет установлен клиент.

Если тебе нужно обеспечить доступ до камеры, то ты либо должен делать проброс порта на веб интерфейс камеры, либо подключаться к «рабочему столу» системы и уже с неё подключаться к камере.

Собственно, все возможные варианты тебе уже изложены.

Выбирай любой согласно твоим навыкам и знаниям.

anonymous
( 10.01.21 20:51:50 MSK )
Ответ на: комментарий от anonymous 10.01.21 20:51:50 MSK

Zerotier может роутить через себя, бриджевать сети итп, но комп тогда уже точно потребуется.

theurs ★★
( 11.01.21 02:55:48 MSK )
Последнее исправление: theurs 11.01.21 02:56:11 MSK (всего исправлений: 1)

Тебе для веба или для чего? Если да, попробуй packetriot.com или ngrok.com.

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Как веб-сервер на своём компьютере сделать доступным для других

После установки веб-сервера может понадобиться сделать его доступным для других в локальной или глобальной сети. Это может быть нужно, например, чтобы тестировать свой сайт на разных платформах (посмотреть, как выглядит сайт на мобильных телефонах) или если вы создали сервис (файлообменник, чат и т.п.), который должен быть доступен для других.

Локальные и глобальные компьютерные сети

Чтобы добиться нужного результата, необходимо знать, что компьютерные сети бывают локальными и глобальными. Пример локальной сети: домашний роутер, к которому подключены компьютеры и мобильные устройства. Глобальная сеть – это Интернет.

Глобальная сеть и локальные сети различаются IP адресами. Каждое сетевое устройство в любой сети должно иметь свой уникальный IP адрес. Особенностью IP адресов в глобальной сети является то, что они уникальны на глобальном уровне, т.е. к Интернету не могут быть подключены устройства, у которых одинаковый IP. В локальных сетях IP адреса также уникальны, но уникальны они только на локальном уровне: т.е. в вашей домашней сети IP адрес, к примеру, 192.168.0.2 может быть только у одного устройства, иначе это вызовет проблемы; но у других пользователей, имеющих свои локальные сети, в этих сетях также может использоваться IP адрес 192.168.0.2.

Поскольку локальные сети напрямую не связаны друг с другом, не возникает путаницы из-за одинаковых IP адресов. Связь между локальными сетями может происходить черед подключение к глобальной сети. Это происходит обязательно через устройства, которые имеют глобальный IP.

Примечание: Я знаю про NAT (технология, позволяющая нескольким устройствам иметь Интернет-подключение через один IP адрес), про объединение локальных сетей с помощью другой локальной сети, про туннелированние и т.д., но сознательно пропускаю это для упрощения.

Локальные и глобальные IP адреса

Чтобы не запутаться в терминологии, глобальный IP адрес ещё называют «внешним», «белым» — это разные обозначения одного и того же.

Локальный IP адрес называют «внутренним», «серым», «приватным» — это всё одно и то же.

Работа домашней (локальной) сети, в которой присутствует роутер и несколько устройств, подключённых к роутеру, обычно выглядит следующим образом:

1. Роутер подключается к Интернет-провайдеру. Интернет-провайдер назначает роутеру внешний IP адрес, который позволяет устанавливать соединения с глобальной сетью Интернет.
2. Компьютеры по кабелю или Wi-Fi, а также мобильные телефоны через Wi-Fi подключаются к роутеру. Роутер раздаёт им локальные IP адреса.
3. Если два устройства в локальной сети хотят обменяться данными, то они это делают через роутер, но сетевые пакеты не отправляются в глобальную сеть.
4. Если какому-либо устройству понадобиться «выйти в Интернет», то он передаст соответствующий запрос роутеру, роутер подключится к нужному узлу в глобальной сети, роутер же получит ответ от узла в глобальной сети и передаст этот ответ устройству в локальной сети, которое сделало первоначальный запрос.

Настройка веб-сервера, чтобы его можно было открыть на других компьютерах в локальной сети

По умолчанию, веб-сервер Apache настроен отвечать всем, кто пытается к нему подключиться. Подключиться к компьютеру, а, следовательно, и к веб-серверу, проще всего по его IP адресу.

Если вы хотите открыть страницу локального веб-сервера на другом устройстве (компьютер, телефон), подключённом к этой же локальной сети, то достаточно в строке браузера набрать IP адрес компьютера, на котором запущен веб-сервер.

Как узнать локальный IP адрес

Но чтобы это сделать, нужно знать, какой у компьютера с веб-сервером IP адрес. Как уже было сказано, локальные IP раздаёт роутер. Локальные IP могут быть в следующих диапазонах:

• 10.0.0.0 — 10.255.255.255
• 100.64.0.0 — 100.127.255.255
• 172.16.0.0 — 172.31.255.255
• 192.168.0.0 — 192.168.255.255

Причём, если вы не меняли настройки роутера, чаще всего используется диапазон 192.168.0.0 — 192.168.255.255. Скорее всего, ваш компьютер имеет адрес вида 192.168.0.* или 192.168.1.*. Но какой именно?

В Windows чтобы узнать локальный IP адрес откройте командную строку (нажмите Win+x, и выберите Windows PowerShell). В открывшемся окне выполните команду

ipconfig

У вас, наверное, будет меньше сетевых устройств, но в любом случае, для всех из них будет выведена информация, в том числе IP адреса.

Мой компьютер имеет локальный IP адрес 192.168.0.90. Если я, например, в телефоне, подключённому по Wi-Fi к роутеру наберу в адресной строке 192.168.0.90, то откроется веб-страница моего локального веб-сервера, запущенного на компьютере (да, у меня там бардак):

Внимание: если у вас не получается открыть веб-сервер, хотя IP адрес введён правильно – попробуйте отключить файервол. Если это помогло, то файервол можно включить, но настройте исключение для 80 порта.

Всё довольно просто, но имеется проблема – после перезагрузки компьютера IP адрес, скорее всего, изменится. Т.е. чтобы вновь открыть локальный веб-сервер понадобится проверять IP адрес и сообщать его другим желающим посетить ваш локальный веб-сайт.

Как уже было сказано, локальный IP адреса «раздаёт» роутер. Адреса являются произвольными в рамках данной подсети.

Чтобы исправить ситуацию с постоянно меняющимся локальным IP, давайте познакомимся с такими понятиями как динамичный и статичный IP адреса.

Динамичный IP адрес выдаётся произвольно (роутером, Интернет-провайдером). Он может меняться при последующих подключениях.

Статичный IP адрес закреплён за сетевым интерфейсом (фактически, закреплён за компьютером, мобильным телефоном). Он не меняется при последующих переключениях.

В локальной сети, по умолчанию используются динамичные IP адреса, но это легко изменить.

Имеется, как минимум, два способа поменять динамичный локальный адрес на статичный локальный адрес:

• в настройках сетевого интерфейса (на компьютере, в мобильном телефоне)
• в настройках роутера

Не нужно делать изменения и там, и там – достаточно сделать настройки или на компьютере, или в роутере. Принципиальной разницы нет, какой именно метод вы будете использовать.

Настройка постоянного IP в Windows

Для настройки статичного локального адреса на компьютере откройте «Сетевые подключения». Проще всего это сделать набрав в командной строке Windows:

ncpa

Выберите интересующий вас сетевой адаптер (сетевой подключение), нажмите на него правой кнопкой мыши и выберите «Свойства»:

В открывшемся окне выберите «IP версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства»:

Вы увидите следующее:

Переключите на «Использовать следующий IP адрес».

Теперь нужно заполнить все поля. Первые три поля являются взаимосвязанными и также связаны с роутером. Когда ранее мы смотрели свой локальный IP адрес, нам также была показана такая информация как Маска подсети (на моём скриншоте это 255.255.255.0) и Основной шлюз (на моём скриншоте это 192.168.0.1). Посмотрите ваши значения (вполне вероятно, что они будут такими же) и введите их в поля «Маска подсети» и «Основной шлюз». Кстати, основной шлюз – это адрес роутера. Очень часто локальными адресами роутера являются 192.168.0.1 и 192.168.1.1

В поле IP-адрес введите желаемый IP. Он должен соответствовать вашей сети. Т.е. если роутер имеет IP 192.168.0.1, то компьютер должен иметь IP вида 192.168.0.* (например, 192.168.0.100), если роутер имеет IP 192.168.1.1, то компьютер должен иметь адрес вида 192.168.1.* (например, 192.168.1.100).

Чтобы не было проблем, устройства в одной локальной сети не должны иметь одинаковый IP адрес.

В качестве DNS серверов («Предпочитаемый DNS-сервер» и «Альтернативный DNS-сервер») введите 8.8.8.8 и 8.8.4.4 соответственно.

У меня получилось так (для компьютера я выбрал IP 192.168.0.100):

Закройте окна с сохранением настроек.

Теперь при каждом подключении ваш компьютер будет иметь один и тот же IP адрес.

Настройка статичного IP в роутере

Для каждого роутера детальная инструкция по настройке различается. Но схема общая: в настройках локальной сети перейдите к настройкам DHCP-сервера, выберите желаемые компьютеры/телефоны по MAC-адресу и привяжите их к определённым локальным IP адресам.

Пример настройки статических IP адресов в ZyXEL Keenetic Lite II.

Имеется перечень компьютеров со следующими именами и следующими желательными статичными IP адресами:

• HackWare-Server-2022 — 192.168.1.60
• VYACHESLAV — 192.168.1.61
• HackWare — 192.168.1.62
• HackWare-Win — 192.168.1.63
• HackWare-Windows-En — 192.168.1.64
• HackWare-Server — 192.168.1.65

На роутере Переходим в Домашняя сеть → Параметры IP. По умолчанию размер пула адресов был равен 20, увеличиваем его количество до 40. Поскольку первым IP адресом пула является 192.168.1.33, то теперь доступный для использования диапазон стал 192.168.1.33-192.168.1.72.

Переходим в список устройств (вкладка «Устройства»):

Выбираем поочереди каждое устройство, ставим галочку «Постоянный IP-адрес», вводим желаемый статичный IP и нажимаем кнопку «Зарегистрировать»:

Повторяем эту операцию для каждого компьютера и устройства, которым мы хотим назначить статичные IP адреса.

Когда всё будет готово, все устройства со статичными адресами будут выделены полужирным шрифтом.

Изменения вступят в силу при следующем подключения устройств к роутеру.

Как открыть веб-сервер для доступа из Интернета

Поскольку Apache по умолчанию прослушивает все сетевые интерфейсы и отвечает всем, то можно предположить, что если в веб-браузере ввести глобальный адрес, то мы увидим наш веб-сайт.

Если кабель Интернет-провайдера подключён к вашему компьютеру напрямую, то, вероятно, доступ по IP адресу будет работать (имеются нюансы с NAT).

Но если вы используете роутер, то IP адрес принадлежит роутеру. Если из Интернета приходит запрос на роутер, то он просто не знает, какому именно устройству в локальной сети переадресовать этот запрос. Более того, большинство роутеров имеют свой собственный веб-сервер – это он показывает страницы с настройками роутера в веб-браузере.

Поэтому для того, чтобы ваш локальный сайт начал быть видимом в Интернете, необходимо настроить переадресацию портов.

Переадресация портов доступна для настроек локальной сети и для настроек Интернет-подключения – нам нужно именно второе.

В роутере перейдите в настройки Интернета, найдите там переадресацию портов. Некоторые роутеры поддерживают Переключение портов – нам это не подойдёт.

В качестве порта для переадресации выберите 80, введите локальный IP адрес компьютера, на котором размещён веб-сервер и введите порт, на который будет происходить переадресация – 80, протокол – TCP.

Теперь мой веб-сервер доступен также по внешнему IP:

Кстати, чтобы узнать свой внешний IP адрес перейдите на эту страницу: https://suip.biz/ru/?act=myip

Как сделать глобальный IP адрес статичным

Вы столкнётесь с той же проблемой, что и для локального IP адреса – скорее всего, ваш внешний IP адрес является динамичным и будет время от времени меняться. Если вам нужен статичный IP адрес, то, скорее всего, его придётся покупать у вашего Интернет-провайдера как дополнительную услугу с ежемесячной абонентской платой.

Очень хороший хостинг сайтов

Если вы уже наигрались с локальным веб-сервером и почувствовали, что готовы выпустить ваш сайт в свет, то я рекомендую тот же хостинг, на котором работает этот сайт:

• Заказ хостинга
• Регистрация доменов (посмотрите, сколько там доменных зон – вы 100% подберёте себе красивое доменное имя
• Детальная техническая информация об услугах хостинга

Связанные статьи:

• Контроль доступа к сайту (блокировка по IP, User-Agent) (78.2%)
• Азы работы с веб-сервером для пентестера (75.5%)
• Как защитить веб сервер на Kali Linux от доступа посторонних (75.5%)
• Установка веб-сервера (Apache 2.4, MySQL 8.0, PHP 8, phpMyAdmin) на Windows 10 (72.2%)
• Настройка Apache в Windows (72.2%)
• Установка Kali Linux на флешку или на внешний диск как полноценную ОС (RANDOM — 50%)

факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!

Рекомендуется Вам:

Alexey 22 февраля, 2018 Apache, IP, Windows, роутеры, сервер Рабочая среда 27 комментариев »

27 комментариев to Как веб-сервер на своём компьютере сделать доступным для других

Теперь жду статью как защитить свой веб-сервер от ddos)

Alexey :

Для тех, кто ставит по инструкции свой первый веб-сервер, DDoS это не главная проблема безопасности (начать нужно с того, что хотя бы установить пароли на службы и ограничить доступ к этим служба из вне). Чтобы дидосили нужно обзавестись недругами, которые готовы тратить свои силы и, почти всегда, деньги на ЗАВЕДОМО ВРЕМЕННЫЕ проблемы в работе веб-сервера. DDoS это даже больше какой-то акт отчаянья – ну ненавижу я тебя, а сделать больше ничего не могу. А вообще статья по защиту от дидос атак точно будет. Правда сначала будет длинный и сложный материал про iptables, а затем статья про защиту от некоторых «детских» DDoS атак, в том числе с использованием iptables, правда в среде Linux.

Спасибо за развернутый ответ.

Добрый день. Поставил по вашей инструкции Apache24, PHP … , — все работает по локальной сети – отлично, спасибо. Проблема возникла при попытке открыть страницу из интернета по внешнему IP моего роутера (определенного по ссылке на вашем сайте и проверенного на других – IP совпадают). Набираю этот внешний IP в браузере телефона (подключен к интернету по другой сети(не через мой роутер)) – получаю сообщение – “не удается получить доступ к сайту, превышено время ожидания ответа от сайта” Настройки роутера на переадресацию к локальному, статическому IP машины с Apache 24, сделал по вашей инструкции. Подскажите пожалуйста, что надо проверить?

Alexey :

Приветствую! Даже если всё сделать правильно (в том числе проброску портов), но если Интернет-провайдер использует NAT, то возможности получить доступ к вашему веб-серверу не будет. Это особенность NAT — подключения работают только в одну сторону. В качестве решения проблемы — только аренда белого IP у вашего Интернет-провайдера.

Добрый день Алексей. Арендовал белый IP и все заработало, спасибо. Подскажите, есть ли у вас статьи, о том как разместить /создать сайт на таком локальном сервере с именем уже ранее зарегистрированного/купленного домена (домен зарегистрирован на Reg.ru, но сайт пока не создан и не привязан к IP) Может какие ссылки порекомендуете. Спасибо.

Alexey :

У вас уже должен быть доступ к управлению DNS записями домена (посмотрите в панели управления). Создайте или отредактируйте запись A чтобы она содержала IP вашего веб-сервера. Этот скриншот просто для примера, какие A записи можно добавить (у вас будет другой интерфейс, так как у меня не reg.ru). В принципе, когда обновятся записи на DNS серверах, может уже заработать — в браузере при вводе доменного имени будет открываться сайт на вашем локальном компьютере. Если не заработает, или если просто хотите сделать «как надо», то в конфигурационном файле веб-сервера httpd.conf найдите директиву

ServerName localhost

И замените её на

ServerName ВАШ_ДОМЕН

Перезапустите веб-сервер. После этого при обращении к домену должно уже точно работать. На этом можно остановиться. Для работы с субдоменами (адреса вида *.domen.ru) или если захотите добавить ещё один сайт, посмотрите раздел «Подключение виртуальных хостов Apache в Windows» в этой статье. Если вы настраиваете DNS для своих доменов и субдоменов, то вам не нужно редактировать файл C:\Windows\System32\drivers\etc\hosts (как это говорится в той статье) — он только для тех ситуаций, когда нет настроек DNS.

Добрый день Алексей. Вроде все понятно. Спасибо огромное.

Alexey :

Забыл сказать очень важные вещи. В папке /phpmyadmin/ на сервере создайте файл .htaccess и скопируйте в него:

Require local

• Запрет доступа из вне к MariaDB/MySQL
• Установка пароля на MariaDB/MySQL

Это нетрудно и не займёт много времени, но это всё нужно сделать обязательно!

По умолчанию если зайти в папку без индексного файла, то показывается список всех файлов в этой папке. Скорее всего, вам это не нужно (и это хуже для безопасности). Поэтому в конфигурационном файле Apache httpd.conf найдите директиву

После неё найдите строку

Options Indexes FollowSymLinks

Options -Indexes

Чтобы изменения вступили в силу, перезапустите веб-сервер.

Если вы разрабатываете и тестируете скрипты прямо на этом сервере, то закройте доступ к папке, в которой находятся файлы проекта с помощью .htaccess как это показано чуть выше. Не храните бэкапов, файлы резервных копий, например, index.php,bak на этом сервере!

Теперь относитесь к этому серверу как к публичному: всё, что не закрыто и не заблокировано это теперь как проходной двор. Отнеситесь к этому серьёзно, так как через веб-сервер можно скомпрометировать (взломать) весь компьютер!

Для настройки ограничений рекомендуется ознакомиться со статьёй «Контроль доступа к сайту (блокировка по IP, User-Agent)».

Удаленное управление роутером TP-Link (через интернет)

Управлять роутером TP-Link можно не только подключившись непосредственно к самому роутеру по кабелю, или по Wi-Fi, но и через интернет. Это значит, что получить доступ к настройкам роутера можно откуда угодно. Даже если ваш роутер находится дома, а вы в другом городе, или в другой стране. Нам понадобится только доступ к интернету. Так же нужно заранее подготовить роутер TP-Link для удаленного управления. Как это сделать? Смотрите эту инструкцию, сейчас все покажу. Зачем это вообще нужно? Бывают разные ситуации, и иногда необходимо иметь возможность удаленно менять настройки роутера, управлять подключенным устройствами, выполнять перезагрузку роутера и т. д.

Получить удаленный доступ к роутеру TP-Link можно двумя способами:

1. Через облачный сервис TP-Link ID. Это очень простой способ, который работает независимо от того, какой у вас интернет, какой внешний IP-адрес выдает интернет-провайдер и т. д. Соединение происходит через облачный сервис компании TP-Link. Управлять можно с телефона или планшета, через приложение TP-Link Tether. Если необходим доступ через браузер (с компьютера и т. д.) , то можно получить уникальный адрес для своего роутера (используя TP-Link DNS) . И использовать этот адрес для доступа к веб-интерфейсу роутера из любого устройства, где бы вы не находились. Единственный минус: не все роутеры поддерживают облачные функции. Правильнее будет сказать, что да данный момент только несколько новых (и как правило дорогих) роутеров поддерживают функцию «Облако TP-Link» ( Archer C8 V3, Archer C9 V3 и V4, Archer C3150 V2 и т. д.) . Лучший способ проверить – зайти в настройки и посмотреть, есть ли там раздел «Облако TP-Link».
2. Через внешний IP-адрес (или DDNS). Роутер получает от провайдера внешний IP-адрес. Думаю, можно сказать, что это уникальный адрес роутера в интернете. Используя этот адрес, можно зайти в настройки роутера TP-Link через интернет. Этот способ работает практически на всех маршрутизаторах. Но там есть несколько важных моментов. Провайдер должен выдавать вам белый, а не серый внешний IP-адрес (подробнее об этом речь пойдет дальше в статье) . Ну и желательно, чтобы внешний IP-адрес был статический (не менялся) . Но если у вас даже динамический (но белый) внешний IP-адрес, то можно настроить DDNS и все будет работать.

Сначала мы рассмотрим более универсальный способ, который подойдет практически всем (второй способ, о котором я писал выше) . А затем покажу, как настроить удаленный доступ к маршрутизатору TP-Link через их фирменный облачный сервис. Если вам повезло, и ваш роутер поддерживает эту функцию.

Доступ к настройкам роутера TP-Link через интернет (по IP или DDNS)

Чтобы понять, как все это работает и быстро все настроить, нужно сначала выяснить, какой IP-адрес выдает роутеру ваш интернет-провайдер. Белый, или серый. Статический, или динамический. И если проблема с динамическим IP-адресом решается настройкой DDNS, то когда провайдер выдает серый WAN IP-адрес – удаленный доступ никак не настроить.

В статье DDNS (динамический DNS) на роутере: что это, как работает и как пользоваться я более подробно об этом рассказывал и подробно показывал, как узнать, белый или серый IP-адрес выдает интернет-провайдер. Если вы не знаете, какой адрес выдает ваш провайдер, то перейдите по ссылке выше и определите.

Дальше действуем в зависимости от полученных результатов:

• Если у вас серый внешний IP-адрес (тот WAN IP-адрес что в настройках роутера не сходится с тем, что отображается на сайте 2ip.ru) , то решение только одно – заказать услугу «статический IP-адрес» у своего провайдера. Если такая услуга доступна. Обычно, эта услуга платная.
• Если у вас белый внешний IP-адрес и он динамический, то все будет работать по инструкции ниже. Но настройки будут недоступны, когда провайдер выдаст другой IP-адрес, так как он динамический. Решение:выполнить настройку DDNS на роутере TP-Link, или заказать у провайдера услугу «Статический IP-адрес».
• Если внешний IP-адрес статический (и, соответственно, белый) . В таком случае все отлично. Следуйте инструкции ниже.

Откройте настройки роутера TP-Link и перейдите в раздел «Защита» – «Удалённое управление». Нам нужно разрешить удаленный доступ к маршрутизатору.

Порт не меняем, а в поле «IP-адрес удалённого управления» нужно прописать внешний IP-адрес устройства, для которого будет разрешен удаленный доступ к настройкам роутера. Или разрешить доступ для всех устройств.

• 0.0.0.0 – удаленный доступ к маршрутизатору запрещен.
• 255.255.255.255 – общий доступ доступен для всех устройств (с разными адресами) .
• Какой-то конкретный IP-адрес. Пример: на работе наш компьютер (с которого мы будем удаленно управлять роутером) имеет статический внешний IP-адрес (например 158.12.63.89) . Мы прописываем этот адрес в поле «IP-адрес удалённого управления» и в дальнейшем удаленный доступ к маршрутизатору будет доступен только для устройств с IP-адресом 158.12.63.89.

Если вы не знаете постоянный IP-адрес устройства, с которого будете удаленно управлять роутером (или он постоянно меняется) , или вы будете заходить с разных устройств, то пропишите 255.255.255.255.

Не забудьте сохранить настройки кнопкой «Сохранить».

На роутерах с новой панелью управления (которая голубая) , нужно зайти в раздел «Системные инструменты» – «Администрирование». Там кроме IP-адреса (с которого можно зайти на роутер через интернет) можно так же прописать MAC-адрес конкретного устройства. Так же обязательно нужно поставить галочку возле «Включить» и сохранить настройки.Пустое поле «IP/MAC-адрес» означает, что доступ будет открыт для всех устройств.

Важно! Мы открыли доступ к нашему роутеру из интернета. Чтобы защитить его панель управления, обязательно установите надежный пароль, который будет защищать настройки роутера. Так же рекомендую установить другое имя пользователя (не использовать заводское admin) . Это можно сделать в разделе «Системные инструменты» – «Пароль». Или «Системные инструменты» – «Администрирование» (вкладка «Управление учетной записью») на новых прошивках.

Чтобы открыть настройки роутера TP-Link через интернет с любого устройства, достаточно узнать свой WAN IP-адрес (который провайдер выдал этому роутеру) . Его можно посмотреть на главной странице веб-интерфейса роутера, на сайте 2ip.ru и т. д.

Нужно перейти по этому адресу в любом брузере и с любого устройства, которое подключено к интернету (при условии, что в настройках удаленного доступа вы разрешили доступ для вех адресов) . Если не сработает, то наберите этот адрес через http:// и в конце добавьте порт (80, если вы не меняли) через двоеточие. Получится примерно так http:// 188.69.89.45 :80

Нужно указать логин и пароль администратора роутера. После чего мы получим доступ к веб-интерфейсу.

Напомню, что если роутер получает от провайдера динамический IP-адрес (то есть, за вашим договором (или адресом вашего дома, квартиры) у провайдера не закреплен постоянный IP-адрес) , то он может меняться. Соответственно, после смены IP-адреса доступа к роутеру по старому адресу уже не будет. Это можно решить настройкой функции «Динамический DNS».

После настройки вы получите постоянный интернет адрес, который можно использовать для входа в настройки маршрутизатора через интернет. Так же этот адрес можно использовать для удаленного доступа к FTP-серверу.

Решение с прямым доступом по IP-адресу и через DDNS отлично работает. Я все проверил на своем роутере. Настроек не много, но все это немного запутано. Особенно с этими IP-адресами сложновато разобраться. Если вы столкнулись с какой-то проблемой – подробно опишите ее в комментариях. Постараюсь подсказать решение. И не забывайте, что у вашего интернет-провайдера тоже есть служба поддержки.

Удаленное управление через облачный сервис (TP-Link ID) и приложение Tether

Для начала нужно открыть настройки маршрутизатор и перейти в раздел «Базовые настройки» – «Облако TP-Link». Там нужно перейти на сайт tplinkcloud.com (нажать на кнопку «Зарегистрируйтесь сейчас») и зарегистрировать себе аккаунт. Обязательно сохраните почту и пароль, который вы укажите при регистрации.

В том же разделе «Облако TP-Link», в настройках маршрутизатора, нужно выполнить вход в свой аккаунт TP-LINK Cloud. Чтобы роутер был привязан к вашему аккаунту.

Вот так выглядят настройки после входа в свой аккаунт и привязки роутера.

Можно отвязать аккаунт от роутера. Или привязать еще один, или несколько аккаунтов (для общего удаленного доступа к маршрутизатору) .

Дальше нужно перейти в раздел «Дополнительные настройки» — «Сеть» — «Динамический DNS» и зарегистрировать для роутера постоянный адрес в сервисе TP-Link DNS.

Важно! Не забудьте в разделе «Администрирование» включить удаленный доступ. В начале статьи я более подробно об этом рассказывал.

Зарегистрированный выше адрес можно использовать для доступа к маршрутизатору с любого устройства через интернет.

Вводим адрес электронной почты и пароль, который был указан при регистрации аккаунта на сайте TP-LINK Cloud и получаем полный доступ к веб-интерфейсу маршрутизатора.

Приложение Tether

Установите на свой телефон, или планшет приложение TP-Link Tether, о котором я рассказывал в этой статье. С его помощью можно управлять большим количеством разных моделей роутеров от TP-Link. Но только по локальной сети (когда ваше устройство подключено к роутеру) .

Но, если ваш роутер поддерживает функцию «Облако TP-Link» и вы уже привязали роутер к своему аккаунту, как я показывал выше, то достаточно в приложении Tether войти в свой аккаунт TP-LINK Cloud.

В списке устройств роутер будет отображаться как «Облачное устройство». И управлять этим роутером мы сможем даже когда телефон подключен к интернету через мобильную сеть, или через Wi-Fi сеть в другом месте.

40

177032

Сергей

TP-Link