Nastavení síťového routeru A-Z (1/2)
autor: Plexo , publikováno 14.8.2008
Nastavení síťového routeru A-Z (1/2)

Spektrum výkonu a možností routerů je velmi široké a my se dnes podíváme na nastavování těch jednodušších, zato výrazně levnější, přesto často plně dostačujících pro domácí použití nebo malé firmy (SOHO). Článek se zaměří na nastavení směrování provozu v počítačových sítích a pomůže nastavit nejen samotný router ale i aplikace, které s počítačovými sítěmi souvisí jako např. web server, FTP server, BitTorrent a DirectConnect.


Pokud používáte DirectConnect a router provádí pouze NAT bez směrování portů, můžete být připojeni pouze v tzv. passiv módu. Pokud si však nastavíte směrování provozu na portech, které jsou použity pro DirectConnect, lze se přepnout do active módu a mít k dispozici pro stahová ní i data od uživatelů, kteří jsou v passiv módu tj. více možností.

Pro bezproblémový chod v active módu musí být DC klient povolen ve firewallu Windows stejně jako u BitTorrentu. V nastavení připojení DC klienta zvolte Active. Do WAN IP napište svojí veřejnou adresu od poskytovatele na portu WAN. Pokud ji nemáte pevně přidělenu, lze napsat hostname z dynamic DNS, které nastavíme v další části.

Do Bind IP napište IP adresu počítače na kterém je spuštěn DirectConnect. Dále zvolte port, který bude DC používat. DC pracuje jak s TCP tak i UDP protokolem a zvolit si lze port v rozsahu 1025 – 32000. dále se používá port 411 pro komunikaci s hubem. Zvolíme port 1025, pokud by spojení nebylo funkční z důvodu blokování tohoto portu poskytovatelem, zvolte si jiný z rozsahu.

Nastavení síťového routeru A-Z (1/2)

Použitý port je nutné povolit v routeru. Přejdeme do virtual servers a přiřadíme port k adrese počítače dle následujícího obrázku.

Nastavení síťového routeru A-Z (1/2)

Nastavení směrování v routeru bude tedy vypadat takto:

Nastavení síťového routeru A-Z (1/2)

V další záložce je možné nastavit Port Triggering, který umožňuje otevření portů pro aplikace, které vyžadují vícenásobné spojení jako například některé on-line hry, video konference nebo VoIP – telefonování přes Internet.

Nastavení síťového routeru A-Z (1/2)

Do trigger port se zapisuje číslo portu pro odchozí provoz – daná aplikace vyšle data přes tento port, který router propustí. Po navázání spojení router propustí komunikaci na definovaných příchozích portech, které se zadávají do Incoming Ports. Těchto portů může být větší množství. Pokud budete chtít využívat aplikaci, která není v routeru předefinována, pak čísla komunikačních portů a typ protokolu naleznete na webových stránkách aplikace nebo opět na stránce

http://www.iana.org/assignments/port-numbers

Demilitarizovaná zóna

Router je také vybaven funkcí DMZ „demilitarizované zóny“, kde je možné nadefinovat IP adresu počítače v síti LAN/WLAN, kam bude směrován veškerý provoz přes otevřené porty (služby), pokud již dané porty nejsou použité, a tedy směrované na jiný počítač, který se nadefinoval ve Virtual servers.

Na odkazu uPnP lze povolit tuto službu, kdy router získává informace od ostaních uPnP zařízení v místní síti.

Nastavení síťového routeru A-Z (1/2)

V příštím článku se podíváme na další pokročilé funkce routování jako je: nastavení QoS, Firewallu a otázký týkající se statického směrování.



Tagy: Sit  routovani  IP  DNS  DHCP  NAT  ping  mapovani portu  FTP server  bittorent  


 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
14.8.2008 06:05:03   212.65.229.xxx 166
(...) IPv6 již umožňují přiřadit adresy celkem 2128 místům v síti (...)

To je trochu malo, ne?

A s tim nastavenim ftp: vite jiste, ze bude stacit routovat port 21? Neni treba jeste nejake dalsi pro data?
14.8.2008 06:06:04   212.65.229.xxx 133
vypadlo mi tam:

Neni treba routovat jeste nejake dalsi porty pro data?
14.8.2008 07:05:18   87.54.17.xxx 139
lol na co prosimte .X 21 staci pokud si nenastavis jiny
14.8.2008 07:22:35   212.65.229.xxx 135
treba proto, ze pokud je ftp server v pasivnim modu, inicializuje prenos dat klient, a musi "prostrelit" router, aby se dostal k serveru?
14.8.2008 07:23:51   89.111.89.xxx 136
zalezi na pouzitem modu
u aktivniho FTP je treba povolit odchozi datove TCP spojeni z portu 20
u pasivniho (klienti za FW) je to slozitejsi, protoze server si urci port, na ktery bude klient navazovat datove TCP spojeni
jsem docela zvedav, jak si s tim pouzity HW a autor clanku poradi
14.8.2008 09:15:17   213.155.227.xxx 154
no normalne se to resi tak, ze se nastavi nejaky maly rozsah portu pro pasivni pripojeni v ftp serveru.. potom ten stejny rozsah se nasmeruje na routeru
14.8.2008 09:52:12   84.42.140.xxx 164
Normálně se to řeší přes nf_conntrack_ftp a nf_nat_ftp. ;-)
14.8.2008 10:26:12   62.168.39.xxx 154
Ano, zajisté. Nicméně existují SOHO routery, které toto neumí, a že jich dosud existují desítky typů. Pak je třeba postupovat "ručně" a řešit to pomocí triggeringu nebo forwardu pevného rozsahu portů
14.8.2008 10:43:08   62.168.39.xxx 144
Ještě jsi zapomněl na změnu IP adresy odesílanou klientům v řídicím spojení (PORT a.b.c.d.port*256.+port) pro otevření datového spojení (standardně totiž FTP server posílá svou vlastní, tedy privátní a neroutovatelnou, IP adresu a je třeba posílat IP forwardujícího routeru)
14.8.2008 06:53:19   89.176.78.xxx 136
Vypadl horní index. Je to samozřejmě 2 na 128.
14.8.2008 06:39:08   89.235.13.xxx 135
Našel sem v člonku větu, lze použít rozsah: "224.0.0.0 až 239.255.255.255"
nemělo to být: "224.0.0.0 až 255.255.255.239" ?
14.8.2008 07:25:16   89.111.89.xxx 135
pokud slo o multicast (IGMP), pak je rozsah 224.0.0.0 - 239.255.255.255 spravne
14.8.2008 06:42:24   62.129.54.xxx 137
Super článek...zrovna doma plodím síť taxe to náramně hodí...Díky!
14.8.2008 07:31:25   89.111.89.xxx 175
do privatnich adres nepatri 172.x.x.x, ale 172.16.x.x - 172.31.x.x
u ICMP by mozna stalo za to, uvest asi nejznamejsi PING (echo request/response)
mozna by to chtelo nestridat Protocol/Protokol
TCP se pise trochu jinak (Transmission)
a u IP prenasite diagramy misto datagramu ;)
14.8.2008 13:27:05   195.146.106.xxx 194
Tech nesrovnalosti jsem tam nasel vicero. Jak pises tak privatni adresy zacinajici 172 nemaji cely A rozsah.

Dost me prekvapilo tvrzeni, ze kazdemu routeru se musi ucit jeho default gateway. Ve spouste pripadu tomu tak vubec byt nemusi.

Tvrdit, ze adresy se zapisuji nejakym zpusobem "což umožňuje zařazovat IP adresy do různých tříd a rozsahů" je taky blbost. Dnes se adresy neradi do trid (zastaraly a nepouzivany system) a rozsahy definuje maska.
Vubec opomenuti masky ip adres je dost zasadni.

Ftp port forwarding uz byl zminen. Kdyz uz, co se aspno podivat na specifikaci ftp protokolu?

Chapu, ze clanek je urcen laikum a tak ho beru, ale to neznamena, zatajit jim zakladni informace a mystifikovat je. Nemusi tam byt nutne OSI model a popis protokolu IP, TCP atp. snad ani neni nutny, ale zatajovat masky a delat chyby v privatnich adresach atp. mi prijde jako docela velky prohresek. Bud bych vyhodil obecny uvod a komentoval jen samotne nastaveni s tim, ze si kazdy zjisti obsah pojmu zvlast, nebo udelat lepe uvod, za cenu delsiho clanku.

Jinak bohuzel je kazdy soho router dost odlisny a obecne navody moc nefunguji. Mam zkusenosti s nekolika typy a nedavno jsem na Asusu (nebo co to bylo za potvoru) port forwarding hledal relativne dlouho Manualy byvaji dost kuse (aspon u meho Linksysu), takze clanek kvituji. Jen vice peclivosti!
14.8.2008 13:30:56   195.146.106.xxx 145
oprava - urcit gateway.
Jinak tahle veta je spis slovickareni, nebot u soho routeru by default gw urcite byt mela. Pri pouziti v jinych situacich bych se tehle obecne recene vete urcite vyhnul...
14.8.2008 13:33:25   195.146.106.xxx 135
Autorovi clanku: jeste posledni prispevek. Berte to pls jako konstruktivni kritiku a ne jako buzeraci. Clanek se mi libi, jen si lepe overte Vami psana fakta.
14.8.2008 14:22:01   81.19.47.xxx 144
Masku jsem nakonec přesunul do 2. části, takže tím se rozsahy dostanou do kontextu. Úvod měl být maximálně zjednodušený.
14.8.2008 14:27:35   195.146.106.xxx 145
Chapu zamer, ale bylo by vhodne alespon zminit, ze neco takoveho existuje a ze se o tom zminite pozdeji. Neznaly ctenar muze dojit ke scestnym zaverum.

Vytrvejte ve svem usili. Drzim palce!
14.8.2008 07:55:34   78.102.54.xxx 154
U nastaveni pro P2P site se hodi pripomenout, ze bezne routery jaksi nestihaji provoz a chce to poohlednout se po takovem kousku u ktereho lze nastavit rozsah pouzivanych portu a hodnoty timeoutu. Defaultne domaci routery pouzivaji 512 portu, coz je pro p2p programy malo, router se zahlti a bud primo zhebne, nebo je jen wan nedostupna.

Pripadne rovnou doporucit skvely firmware DD-WRT
14.8.2008 10:37:23   62.168.39.xxx 163
P2P komunikují většinou na jednom, max. 2 portech, jejich problém je počet SPOJENÍ. A problém u routerů je ten, že NATovací tabulka má jen omezenou velikost. Levné routery pak mají z důvodu nevýkonného CPU nastavenou jen velmi malou tabulku, ergo dokáží NATovat jen omezený počet spojení.
15.8.2008 08:57:48   78.102.54.xxx 134
Coz je to same co jsem rikal (:
15.8.2008 09:05:45   195.146.106.xxx 135
Jeste v tom zkusim udelat bordel a upresnim

Spojeni je definovano dvojici udaju na 2 uzlech a to stroj1[IP,port]:stroj2[IP,port].
Tzn. pocet spojeni velmi uzce souvisi s poctem pouzitych portu, pokud se jedna o prenos mezi stejnymi stroji. Pokud by kazde spojeni slo k jinemu cili, tak by se nemuselo pouzivat vicero portu (rozliseni by se odehralo na urovni ip adres).

Nicmene pri pouziti NATu (presneji NAT+PAT), o kterem se v tom to pripade bavime, se pocet spojeni rovna cislu pouzitych portu, takze mate pravdu oba
14.8.2008 09:09:19   194.228.17.xxx 174
DD-WRT je cool. Mám ho na ASUS WL-500G Deluxe a paráda. Trošku pruda ho tam dostat, ale jak už tam jednou je, není problém.

Ad článek. První věc, kterou by měl každý udělat při koupi routeru je ZMĚNIT HESLO a zakázat remote administration. Nezřídka se stává, že router v defaultu má povolený port 80 z WAN rozhraní.
No a o zabezpečení wi-fi ani raději nemluvím.
14.8.2008 10:45:47   62.168.39.xxx 144
Osobně bych spíše doporučil X-WRT, který amatérům poskytuje pomoc grafického webového rozhraní, navíc upload firmware do (podporovaného) routeru je otázkou několika málo minut.
14.8.2008 10:55:58   194.228.17.xxx 134
DD-WRT má taky pěkné grafické rozhraní a nutnost jít "na konzoli" je opravdu minimální.
14.8.2008 11:33:24   193.86.31.xxx 144
Ja zakotvil na tomatu (:
Jinak na tom asusu, kterej mi sem tam projde pod rukama, mne nejvic zarazilo, ze s jeho puvodnim firmwarem neslo vypnout konfiguraci z bezdratu ... coz je hned druha vec co vypinam a znemoznuju.
14.8.2008 10:34:02   62.168.39.xxx 165
Připadne mně, že některé části (např. IGMP/ICMP/TCP/UDP/IP) jsou nepřesně opsány z nějaké wiki s tím, že sám autor netuší, jaké jsou mezi nimi vztahy (např. zcela nelogicky uvádí IP až na posledním místě, i když všechny předchozí protokoly staví na IP - viz ISO/OSI), zcela vágní popis ICMP atp.

Korunu tomu pak nasadil popis forwrdingu portů, kdy si autor zcela evidentně ukousl daleko větší sousto, než dokáže spolknout, protože TAK ZVRTANOU konfiguraci FTP forwardu, která bude fungovat jen v některých případech (aktivní spojení, což nemusí fungovat všem), jsem dlouho neviděl.
14.8.2008 10:50:35   62.168.39.xxx 154
Ale aby to nevyznělo moc negativně - jinak je to zajímavý článek "pro lamy" jak nastavit základní věci na routeru, jen škoda těch nepřesností a volby jednoho z nejtěžších protokolů na forwarding (FTP - popis tohoto protokolu a potřebných nastavení vydá na samostatný článek), který prostě nebyl zvládnutý a z kterého bude mít nejeden "admin routeru" bolení hlavy. :-)
14.8.2008 11:49:27   81.19.47.xxx 124
Právě, že nastavení FTP by bylo na samostatný článek, je těžké to maximálně zjednodušit, aby nastavení fungovalo ve většině případech na SOHO routerech. Cílem článku nebylo popsat vše o FTP...
Proč nelogicky na posledním místě? Nejlepší nakonec.
Úvod jsem chtěl udělat "měkký", takže ISO/OSI až v druhém díle.
14.8.2008 12:27:58   62.168.39.xxx 144
v tom případě by možná nebylo od věci upozornit na tuto problematiku a opravdu jí věnovat samostatný článek... Anebo to vyřešit metodou "bombenfest-wasserdicht-und-idiotensicher" a natvrdo uvést v portforwardu potřebné datové porty a nastavení FTP serveru
15.8.2008 07:31:53   62.44.4.xxx 136
Take mne prekvapil pomerne sverazny vyklad teto problematiky. Gramaticke nespojitosti ve vetach naznacuji sesivani kusych informaci pomoci copy paste. Zavery, dusledky a domnele "vyhody" jsou utvareny ponekud zcestne. Argumentace typu chtel jsem byt strohy neobstoji, jelikoz i strucne lze veci vystihnout a ne kolem nich mlzit. Zajimavy mi prisel i odkaz na cenove bezkonkurencni microtik - uvedomte si prosim, ze vetsina "krabicek" coby routeru ma v sobe nahrany linux a stredne zdatnemu uzivateli by nemelo delat problem si sehnat odpovidajici distribuci a pouzit vybehove pentium/100 jako domaci router. Konecne, bylo by vhodne, kdyby si autor zkusil projit nekolik typu routeru od ruznych vyrobcu (zvlaste, pokud se clanek jmenuje A-Z), jelikoz tyto se velmi lisi, coz je patrne i v silne zavadejicim popisu konfigurace allow/deny pravidel v druhem dile.
14.8.2008 10:55:19   93.91.50.xxx 225
Opravte si prosím tu pasáž o tom, že IIS nepodporuje PHP. Zaprvé je "břemeno podpory" na straně PHP, tedy by správně mělo být "PHP nepodporuje IIS", zadruhé ani to není pravda.

PHP podporuje IIS už dlouhá léta, dokonce verze s instalátorem umí/uměla poznat jakou verzi IIS používáte a do nastavení IIS se přidat. Začátečník tedy kromě tlačítka "Next" nemusel už nic moc řešit.

PS: V článku máte sice několik chyb, ale způsob reakcí ukazuje u některých komentujících značnou impotenci ve slušném vychování, doporučuji se nad těmito povznést.
14.8.2008 19:42:39   89.111.89.xxx 136
zkuste se na "břemeno podpory" zeptat vyvojare a ten vam objasni, proc dlouha leta pouzival LAMP
viz http://msdn.microsoft.com/en-us/magazine/cc135973.aspx
IIS had always supported PHP, but in a way that precluded many real-life PHP applications from being hosted in production environments. This was due to limitations in the two ways IIS offered for running PHP applications: using the Common Gateway Interface (CGI) protocol or using the PHP ISAPI extension.
Because CGI requires a separate process for each request, apps hosted using CGI would perform poorly on Windows. Conversely, PHP apps using the IIS high-performance multithreaded ISAPI interface would often suffer from instability due to the lack of thread safety in some popular PHP extensions.
15.8.2008 01:05:19   93.91.50.xxx 158
Hmm... asi vám úplně nerozumím, ale budu rád pokud mi to vysvětlíte, kde níže mám chybu.
0a) Že IIS s PHP fungovalo (zde jedno jak) odjakživa na tom se podle první vámi citované věty předpokládám shodneme
0b) MSDN je důvěryhodný zdroj, proto budeme považovat informace tam uvedené a vámi zde odcitované jako pravdivé
1) IIS mělo/má ISAPI, tedy PHP se "přimázla" jako dll knihovna k IIS
2) Knihovny přes ISAPI, včetně všech dalších součástí co tyto knihovny používaly, musely být napsány tak, aby byly "thread-safe", jinak při více uživatelích nastávaly problémy
3) PHP knihovna "phpXisapi.dll" je dílem vývojářů PHP, nikoli vývojářů IIS
4a) "Popular extensions" pro PHP mají na starost, resp. za ně mají zodpovědnost vývojáři PHP, nikoli vývojáři IIS (neznámé a podomácku vyrobené extensions řešit nebudeme, skoro nikdo je nepoužívá)
4b) "Popular extensions" má na starost třetí strana, která nepodléhá ani vývojářům PHP ani vývojářům IIS, ani případným prosbám a naléhání z jejich strany
5) Vývojáři IIS museli převzít iniciativu a dodělat do IIS7 podporu FastCGI, protože jak se po dlouhých létech ukázalo, "popular extensions" fungující stabilně přes ISAPI nejsou a nebudou
6) Vývojáři IIS nemohli převzít iniciativu a ony "popular extensions" si pod ISAPI přepsat sami, protože by fakticky museli převzít iniciativu nad vývojem daných extensions jako takových, protože i ony se jinak normálně vyvíjí a oni by neustále s "FastCGI verzí" museli udržovat krok, což by prakticky nebylo možné (zda je k tomu vedla i snaha o prosazení ASP na úkor PHP můžeme nechat rovněž stranou)
7a) Z předchozích bodů usuzuji, že (webový) vývojář dlouhá léta používal LAMP, protože nikdo z 4a/b neráčil přepsat extensions aby byly "thread-safe", na což mohli vývojáři IIS maximálně jen smutně koukat
7b) Vývojář dlouhá léta používal LAMP a používá ho dodnes, protože LAMP rulez a Windows, IIS, MSSQL a ASP(.NET) a vůbec celý Microsoft prostě SUX! (pouze vtip)
15.8.2008 18:08:22   89.111.89.xxx 128
komunikaci programu v PHP s IIS lze realizovat pomoci CGI nebo ISAPI
CGI je obecny standard a kazdy pozadavek vytvari novy proces s vlastnim kontextem, bohuzel vytvoreni noveho procesu na Windows OS je velmi "drahe" (~5M cyklu) a aplikace bezi pomalu
ISAPI je standard Microsoftu a kazdy pozadavek vytvari nove vlakno (thread) v kontextu IIS coz je rychle, bohuzel jedna PHP aplikace ma pristup ke vsem ostatnim (klice, hesla, ..) pripadne muze poslat cely server do kytek
pragmatik si pak vybral LAMP, protoze se mu nechtelo resit dilema WIMPu - rychlost (ISAPI) nebo bezpecnost (CGI)
16.8.2008 10:20:38   78.99.182.xxx 134
mám dotaz má niekdo z vás návod ako nainstalovat cez vertrigo server WORDPRESS aby som si sám doma spravoval redakcný sistém dakujem

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

247 čtenářů navrhlo autorovi prémii: 117.1Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.