Безопасен ли домашний проброс портов?

Question

[Kirgus]

У меня белый статический домашний IP-адрес. И я хочу, чтобы моему компостеру приходили HTTP-запросы из интернатов. То есть, насколько я понимаю, я должен пробросить порты в панели управления роутера.
Роутер: Терминал ОАО ПРОМСВЯЗЬ, SN: ZTEGC1A1237B, SSID1: ZTE-fb777a

Comments

[mayton2019]

Искренне хохотал. В целом батя прав вобщем-то. Открытие портов - больше потенциальных возможностей. Возможно сценарий такой. Злобный Анонимос или Неткиллер рутает твой дырявый Манйкрафт-сервер и уже зайдя туда начинает осматриваться внутри сети - и оттуда видит соседние хосты в том числе и драгоценные батины карточки, и прочие логины-пароли к порно-сайтам. :)

Кудаж без моделирования угроз :)

[GavriKos]

C++ Qt, Python Flask, Lua разработчик

однако отец не позволяет это сделать

Съезжай от родителей и пробрасывай хоть все порты

[Yan]

Арендуй vps с выделенным ip
Соединяйся с помощью vpn, открывай порты и развлекайся

Ну, если сильно надо, открой порт через UPnP (на роутере должна быть включена служба)
Отвечая на вопрос в шапке: нет, не безопасен. Но кому нужно - открывает

[Kirgus]

mayton2019, что значит "рутает"?

[pfg21]

Кирилл Гусарев, проблема не в открытии портов на роутере. роутер железка сетевая, запиленная под отражении кучи атак постоянно сыплюшихся на роутер атак, ибо он подключен к крайне "свободному" интернету.
если честно не слышал что бы роутер ломали через проброс портов.

а вот сервер майнкрафта вполне себе угрожает.

рутает - получает полный доступ к твоему компу. учитывая что ты в винде сидишь под администратором и сервер майнкрафта естественно запущен под администратором, то взломав сервер майнкрафта можно получить полный контроль над твоей виндой.
загущаю краски конешно, но твой батя прав - без познаний в сервера не лезь :)

[Kirgus]

pfg21, я не собираюсь открывать сервер Minecraft :D
Мне всего лишь надо запустить пару API

[mayton2019]

Кирилл Гусарев, Amazon и Microsoft дают 1 или 2 месяца бесплатно для облачного акаунта. Подними себе 1 EC2 instance и запускай на нем свой волшебный API.

Answer 1

[Drno]

В целом да, это вектор для аттаки.
Можно купить нормальный роутер, вместо вашей поделки)

В данной же ситуации - нахер вы никому не нужны. Открывай спокойно 80 порт на свой ПК, если там конечно есть веб сервер)
Батя быстрее сам вирусню с инета скачает, чем к вам хакеры придут)

Comments

[Kirgus]

Я где-то читал, что есть программы, которые очень быстро сканируют большой диапазон IP-адресов и очень быстро, и так программа определяет куда можно попытаться проникнуть.

[Drno]

Кирилл Гусарев, ну есть... и что?Вы открываете доступ только до своего ПК на 80 порт...
если там нет уязвимости - никаких проблем

[Kirgus]

Drno, спасибо)

[Alexander]

Можно купить нормальный роутер, вместо вашей поделки)

Вместо вряд ли, т.к. почти наверняка это PON ONT и провайдер его не поменяет.

[Kirgus]

Drno, появились новые аргументы. Теперь говорится, что у нас на компах работают Скайпы, uTorrentы и другие программы, которые используют порты, и я не могу пробрасывать порт, пока не определю какие свободны. Это правда?

[Drno]

Кирилл Гусарев, порты для http заняты не будут. при включенном upNp на роутере действительно открываются порты во внутрь, до программы. Но обычно они выше 30000...
да и где тут аргумент - типо скайпу или торренту что то помешает? таки нет, не помешает, роутер сам разберется

[Drno]

Alexander, его можно перевести в режим моста и поставить за ним роутер)

[Drno]

Кирилл Гусарев, проблема проще. Папа нахватался где то терминов и сыпет ими просто так )) не понимая как это устроено и работает...

в целом - возможно реально проще платить 150р в месяц, арендовав VPS. и делайте там че хотите

[Alexander]

Drno, не любой ONT можно перевести в режим моста. По крайней мере без танцев с бубном...

[Drno]

Alexander, это уже проблема провайдера)

Answer 2

[Valentin Barbolin]

Если тебе необходимо пробросить порт для тестирования - используй ngrok.
Если на постоянной основе, то арендуй VPS.

П.С. Безопасность должна быть бзопасной.

Answer 3

[Akina]

Покупаешь ещё один роутер (конечно, уж не совсем дерьмо). Каскадишь. Батя прячется за ним (у него двойной NAT, "две защиты за те же деньги", ибо второй роутер ты покупаешь на свои) и не даёт тебе пароля, а ты сидишь только за первым, и если твой комп поимеют, то до батиного не доберутся.

Comments

[Kirgus]

Возникнет проблема со скоростью. Каждый выход на роутере это 100 МБит/с. То есть для моего ПК скорость будет та же, что и была. А вот на все остальные домашние компы будет выделено 100 МБит/с.

[Drno]

Кирилл Гусарев, а куда им больше? для ютубчика и инстаграммов - заглаза хватит.
тем более у Вас тариф наверняка 100мб )

[Drno]

нет, домашних тоже отделим от бати... бате ставим 3й роутер.. чтоб он был за 3 NAT.. чтоб никто, даже из домашних до него не добрался!!!! (сарказм)

[Akina]

Кирилл Гусарев,

Возникнет проблема со скоростью. Каждый выход на роутере это 100 МБит/с.

Ну я ж написал вроде - не совсем дерьмо. А у таких все порты гигабитные.

[Kirgus]

Akina, провайдер Белтелеком. Только их роутер можно поставить

[Akina]

Кирилл Гусарев, походу ты в процессе беседы мысль потерял. Провайдерский - он никуда не девается, новый встаёт после него.
Или ты про то, что у провайдерского порты сотки? ну тогда вопрос - а ширина входящего-то канала у тебя какая?

Answer 4

[res2001]

Безопасен ровно в той мере, в какой безопасно программное обеспечение, слушающее проброшенный порт.
Самому роутеру через проброс ничего не угрожает, но если сломают слушающее ПО и получат управление компом, то дальше можно делать все что угодно в вашей сети.
Все интернет сервисы слушают порты и вроде у многих все нормально, но не у всех :)