port forwarding (tsz. port forwardings)
A számítógépes hálózatokban a porttovábbítás vagy portleképezés a hálózati címfordítás (NAT) alkalmazása, amely átirányítja a kommunikációs kérelmeket egyik cím- és portszám- kombinációról egy másikra, miközben a csomagok egy hálózati átjárón, például útválasztón vagy tűzfalon haladnak át . Ezt a technikát leggyakrabban arra használják, hogy egy védett vagy álcázott (belső) hálózaton lévő gazdagépen elérhetők legyenek a szolgáltatások az átjáró (külső hálózat) ellentétes oldalán lévő gazdagépek számára, a kommunikáció cél IP-címének és portszámának egy belső gazdagépre való átrendezésével.
Cél A porttovábbítás megkönnyíti a távoli számítógépek, például az internetes gazdagépek csatlakozását egy adott számítógéphez vagy szolgáltatáshoz a helyi hálózaton (LAN) belül.
Egy tipikus lakossági hálózatban a csomópontok egy útválasztóhoz vagy hálózati címfordítóhoz (NAT/NAPT) csatlakoztatott DSL- vagy kábelmodemen keresztül érik el az internet-hozzáférést. A magánhálózat gazdagépei Ethernet switch-hez csatlakoznak, vagy vezeték nélküli LAN-on keresztül kommunikálnak . A NAT-eszköz külső interfésze nyilvános IP-címmel van konfigurálva. Az útválasztó mögött található számítógépek viszont láthatatlanok az interneten található gazdagépek számára, mivel mindegyik csak egy privát IP-címmel kommunikál.
A porttovábbítás konfigurálásakor a hálózati adminisztrátor elkülönít egy portszámot az átjárón, hogy kizárólag egy adott gazdagépen található magánhálózati szolgáltatással kommunikálhasson. A külső gazdagépeknek ismerniük kell ezt a portszámot és az átjáró címét, hogy kommunikáljanak a hálózati belső szolgáltatással. Gyakran a jól ismert internetes szolgáltatások portszámait, például a 80-as portszámot a webszolgáltatásokhoz (HTTP) használják a porttovábbításhoz, így a magánhálózatokon belüli gazdagépeken is megvalósíthatók az általános internetes szolgáltatások.
A tipikus alkalmazások a következők:
Nyilvános HTTP- kiszolgáló futtatása privát LAN-on belül Secure Shell hozzáférés engedélyezése egy gazdagéphez a privát LAN-on az internetről FTP hozzáférés engedélyezése egy gazdagép számára egy privát LAN-on az internetről Nyilvánosan elérhető játékszerver futtatása privát LAN-on belül A rendszergazdák konfigurálják a porttovábbítást az átjáró operációs rendszerében. A Linux kernelekben ezt az iptables vagy a netfilter kernelkomponensekben található csomagszűrő szabályokkal érik el . A Yosemite (OS 10.10.X) előtti BSD és macOS operációs rendszerek az Ipfirewall (ipfw) modulban, míg a Yosemite- től kezdődő macOS operációs rendszerek a Packet Filter (pf) modulban valósítják meg .
Ha átjáróeszközökön használják, a porttovábbítás egyetlen szabállyal is megvalósítható a célcím és a port lefordításához. ( Linux kerneleken ez a DNAT szabály). A forrás címe és portja ebben az esetben változatlan marad. Ha olyan gépeken használják, amelyek nem a hálózat alapértelmezett átjárói, a forráscímet a fordítógép címére kell módosítani, különben a csomagok megkerülik a fordítót, és a kapcsolat meghiúsul.
Ha a porttovábbítást proxyfolyamat hajtja végre (például alkalmazásréteg-tűzfalakon, SOCKS -alapú tűzfalakon vagy TCP-köri proxykon keresztül), akkor a rendszer valójában nem fordítja le a csomagokat, csak az adatokat. Ez általában azt eredményezi, hogy a forráscím (és a portszám) a proxy gépére változik.
Egyszerre általában csak az egyik privát gazdagép használhat egy adott továbbított portot, de a konfigurációban néha lehetséges a hozzáférés megkülönböztetése a kiinduló gazdagép forráscíme alapján.
A Unix-szerű operációs rendszerek néha porttovábbítást használnak, ahol 1024-nél kisebb portszámokat csak a root felhasználóként futó szoftver hozhat létre. A szuperfelhasználói jogosultságokkal való futtatás (a port kötése érdekében) biztonsági kockázatot jelenthet a gazdagép számára, ezért a porttovábbítást arra használják, hogy egy alacsony számú portot átirányítsanak egy másik magas számú portra, így az alkalmazásszoftverek általános operációs rendszer-felhasználóként, csökkentett jogosultságokkal futhatnak.
Az Univerzális Plug and Play protokoll (UPnP) olyan szolgáltatást biztosít, amely automatikusan telepíti a porttovábbítás példányait a lakossági internetes átjárókban. Az UPnP definiálja az Internet Gateway Device Protocol-t (IGD), amely egy olyan hálózati szolgáltatás, amellyel az internetes átjáró az SSDP-n ( Simple Service Discovery Protocol ) keresztül hirdeti jelenlétét egy magánhálózaton . Egy internet-alapú szolgáltatást nyújtó alkalmazás felfedezheti az ilyen átjárókat, és az UPnP IGD protokoll segítségével portszámot foglalhat le az átjárón, és arra készteti az átjárót, hogy csomagokat továbbítson a figyelő aljzatába .