Ako presmerovať port na smerovači
Zhrnutie: Ak chcete presmerovať port na smerovači, prihláste sa do smerovača, nájdite časť „Presmerovanie portov“ a potom vytvorte pravidlo platné pre zariadenie, ktoré používate ako hostiteľ. Hostiteľskému počítaču by ste mali priradiť aj statickú IP adresu.
Hoci moderné smerovače Wi-Fi zvládajú väčšinu funkcií automaticky, niektoré aplikácie budú vyžadovať manuálne presmerovanie portu v nastaveniach smerovača. Našťastie je veľmi jednoduché presmerovať porty na smerovači, ak viete, kde hľadať
Čo je presmerovanie portov?
Presmerovanie portov (alebo mapovanie portov) umožňuje externej prevádzke z internetu pripojiť sa k zariadeniu, napríklad počítaču, v súkromnej sieti.
Povedzme, že chcete na svojom počítači hostiť server Minecraft pre svojich priateľov. Keď sa pokúsia pripojiť, ich prevádzka musí byť odoslaná do správneho počítača vo vašej sieti a ich pripojenie musí povoliť váš smerovač. Váš smerovač používa pravidlá presmerovania portov na určenie, na ktorý počítač by sa mala odoslať prevádzka týkajúca sa servera Minecraft. Samozrejme, nejde len o herné servery – ak ide o internetový prenos, ide o porty.
Pozrime sa na podrobnosti, ako sa to deje.
Ako váš smerovač spracováva požiadavky a používa porty
Tu je mapa jednoduchej domácej siete. Ikona cloudu predstavuje väčší internet a vašu verejnú alebo smerujúcu adresu internetového protokolu (IP). Táto adresa IP predstavuje celú vašu domácnosť z vonkajšieho sveta – svojím spôsobom ako adresa.
Červená adresa 192.1.168.1 je adresa smerovača vo vašej sieti. Všetky ďalšie adresy patria počítačom zobrazeným v spodnej časti obrázka. Ak je vaša verejná IP adresa ako adresa, myslite na interné IP adresy, ako sú čísla bytov pre danú adresu.
Diagram vyvoláva zaujímavú otázku, o ktorej ste možno doteraz neuvažovali. Ako sa všetky informácie z internetu dostanú do správneho zariadenia v sieti? Ak navštívite stránku windows-office.net na svojom notebooku, ako to skončí na vašom notebooku a nie na pracovnej ploche vášho syna, ak je verejná IP adresa rovnaká pre všetky zariadenia?
Je to vďaka úžasnému kúzlu smerovania známemu ako preklad sieťových adries (NAT). Táto funkcia sa vyskytuje na úrovni smerovača, kde NAT funguje ako dopravný policajt, ktorý riadi tok sieťovej prevádzky cez smerovač tak, aby sa jedna verejná adresa IP mohla zdieľať medzi všetkými zariadeniami za smerovačom. Vďaka NAT môže každý vo vašej domácnosti súčasne požadovať webové stránky a iný internetový obsah a všetko bude doručené na správne zariadenie.
Kde teda do tohto procesu prichádzajú porty? Porty sú starým, ale užitočným pozostatkom z počiatkov sieťových počítačov. V časoch, keď počítače mohli súčasne spúšťať iba jednu aplikáciu, stačilo nasmerovať jeden počítač na iný počítač v sieti, aby sa pripojili, pretože na nich bude spustená rovnaká aplikácia. Akonáhle sa počítače stali sofistikovanými na spúšťanie viacerých aplikácií, raní počítačoví vedci museli zápasiť s otázkou zabezpečenia aplikácií pripojených k správnym aplikáciám. Tak sa zrodili prístavy.
Niektoré porty majú špecifické aplikácie, ktoré sú štandardom v celom počítačovom priemysle. Keď napríklad načítate webovú stránku, používa port 80. Softvér prijímajúceho počítača vie, že port 80 sa používa na poskytovanie dokumentov http, takže tam počúva a podľa toho odpovedá. Ak odošlete požiadavku http cez iný port – povedzme 143 – webový server ju nerozpozná, pretože tam nepočúva (hoci to môže byť niečo iné, napríklad e-mailový server IMAP, ktorý tento port tradične používa).
Ostatné porty nemajú vopred priradené použitie a môžete ich použiť na čokoľvek, čo chcete. Aby ste predišli interferencii s inými štandardnými aplikáciami, je najlepšie použiť väčšie čísla pre tieto alternatívne konfigurácie. Napríklad Plex Media Server používa port 32400 a servery Minecraft používajú 25565 - obe čísla, ktoré spadajú do tohto územia „fair game“.
Každý port môže byť použitý cez TCP alebo UDP. TCP alebo Transmission Control Protocol je to, čo sa používa najčastejšie. UDP, alebo User Datagram Protocol, sa v domácich aplikáciách používa menej s jednou veľkou výnimkou: BitTorrent. V závislosti od toho, čo počúva, bude očakávať, že požiadavky budú zadané v jednom alebo druhom z týchto protokolov.
Prečo potrebujete presmerovať porty
Prečo by ste teda presne potrebovali presmerovať porty? Zatiaľ čo niektoré aplikácie využívajú NAT na nastavenie vlastných portov a spravujú všetku konfiguráciu za vás, stále existuje veľa aplikácií, ktoré to tak nie sú, a pri pripájaní služieb a aplikácií budete musieť podať pomocnú ruku svojmu smerovaču. .
Na obrázku nižšie začíname s jednoduchým predpokladom. Ste na svojom notebooku niekde na svete (s IP adresou 987.76.54.123) a chcete sa pripojiť k svojej domácej sieti, aby ste získali prístup k niektorým súborom. Ak svoju domácu IP adresu (123.45.67.891) jednoducho pripojíte k akémukoľvek nástroju, ktorý používate (napríklad FTP klient alebo aplikácia vzdialenej pracovnej plochy), a tento nástroj nevyužíva výhody pokročilých funkcií smerovača, ktoré sme práve spomenuli, máš smolu. Nebude vedieť, kam poslať vašu žiadosť, a nič sa nestane.
Toto je mimochodom skvelá bezpečnostná funkcia. Ak sa niekto pripojí k vašej domácej sieti a nie je pripojený k platnému portu, chcete, aby bolo pripojenie odmietnuté. To je prvok brány firewall vášho smerovača, ktorý vykonáva svoju prácu: odmieta nevítané požiadavky. Ak ste však osobou, ktorá klope na vaše virtuálne dvere, vy, odmietnutie nie je také vítané a musíme to trochu upraviť.
Ak chcete tento problém vyriešiť, chcete svojmu smerovaču povedať „hej: keď k vám pristúpim pomocou tohto programu, budete ho musieť poslať do tohto zariadenia na tomto porte“. S týmito pokynmi váš smerovač zaistí, že máte prístup k správnemu počítaču a aplikácii vo vašej domácej sieti.
Takže v tomto príklade, keď ste vonku a používate svoj laptop, na zadávanie požiadaviek používate rôzne porty. Keď pristupujete k IP adrese svojej domácej siete pomocou portu 22, váš domáci router vie, že by to malo ísť na 192.168.1.100 v rámci siete. Potom bude reagovať démon SSH vo vašej inštalácii Linuxu. Zároveň môžete zadať požiadavku cez port 80, ktorú váš smerovač odošle na webový server, ktorý používate na 192.168.1.150. Alebo sa môžete pokúsiť diaľkovo ovládať notebook vašej sestry pomocou VNC a váš smerovač vás pripojí k vášmu notebooku na čísle 192.168.1.200. Týmto spôsobom sa môžete jednoducho pripojiť ku všetkým zariadeniam, pre ktoré ste nastavili pravidlo presmerovania portov.
Užitočnosť presmerovania portov tam však nekončí! Pre prehľadnosť a pohodlie môžete dokonca použiť presmerovanie portov na zmenu čísel portov existujúcich služieb. Povedzme napríklad, že máte vo svojej domácej sieti spustené dva webové servery a chcete, aby bol jeden ľahko a očividne prístupný (napr. je to server počasia, ktorý chcete, aby ho ľudia mohli ľahko nájsť) a druhý webový server je určený pre osobné projektu.
Keď pristupujete k domácej sieti z verejne prístupného portu 80, môžete smerovaču prikázať, aby ho poslal na port 80 na serveri počasia na 192.168.1.150, kde bude počúvať na porte 80. Môžete však povedať svojmu smerovaču že keď k nemu pristupujete cez port 10 000, mal by prejsť na port 80 na vašom osobnom serveri, 192.168.1.250. Týmto spôsobom nemusí byť druhý počítač prekonfigurovaný tak, aby používal iný port, ale stále môžete efektívne riadiť prevádzku – a zároveň tým, že prvý webový server necháte pripojený k portu 80, uľahčíte ľuďom prístup k vášmu už spomínaný projekt servera počasia.
Teraz, keď vieme, čo je presmerovanie portov a prečo by sme ho mohli chcieť použiť, poďme sa pozrieť na niekoľko malých úvah týkajúcich sa presmerovania portov predtým, ako sa ponoríme do jeho skutočnej konfigurácie.
Úvahy pred konfiguráciou smerovača
Predtým, ako si sadnete ku konfigurácii smerovača, je potrebné mať na pamäti niekoľko vecí a zaručené, že si ich vopred prebehnete, zníži frustráciu.
Nastavte statickú IP adresu pre svoje zariadenia
V prvom rade sa všetky vaše pravidlá presmerovania portov rozpadnú, ak ich priradíte zariadeniam s dynamickými IP adresami priradenými službou DHCP vášho smerovača. V tomto článku o DHCP vs. prideľovaní statických adries IP sa zaoberáme podrobnosťami o tom, čo je DHCP, ale tu vám poskytneme rýchle zhrnutie.
Váš smerovač má skupinu adries, ktoré si vyhradzuje len na rozdávanie zariadeniam, keď sa pripájajú a opúšťajú sieť. Predstavte si to ako získať číslo v reštaurácii, keď prídete – váš laptop sa pripojí, bum, dostane IP adresu 192.168.1.98. Váš iPhone sa pripojí, bum, dostane adresu 192.168.1.99. Ak tieto zariadenia na určitý čas prepnete do režimu offline alebo sa router reštartuje, potom sa celá lotéria IP adries zopakuje.
Za normálnych okolností je to viac než v poriadku. Váš iPhone sa nestará o to, akú internú IP adresu má. Ak ste však vytvorili pravidlo presmerovania portov, ktoré hovorí, že váš herný server má určitú IP adresu, a smerovač mu potom pridelí novú, toto pravidlo nebude fungovať a nikto sa nebude môcť pripojiť k vášmu hernému serveru. Aby ste tomu zabránili, musíte každému sieťovému zariadeniu, ktorému priraďujete pravidlo presmerovania portov, priradiť statickú IP adresu. Najlepší spôsob, ako to urobiť, je prostredníctvom smerovača.
Poznajte svoju IP adresu (a nastavte dynamickú DNS adresu)
Okrem používania statických priradení adries IP pre relevantné zariadenia vo vašej sieti si tiež chcete byť vedomí svojej externej adresy IP – môžete ju nájsť na stránke whatismyip.com vo svojej domácej sieti. Aj keď je možné, že môžete mať rovnakú verejnú IP adresu mesiace alebo dokonca viac ako rok, vaša verejná IP adresa sa môže zmeniť (pokiaľ vám váš poskytovateľ internetových služieb výslovne neposkytol statickú verejnú IP adresu). Inými slovami, nemôžete sa spoliehať na to, že zadáte svoju číselnú IP adresu do akéhokoľvek vzdialeného nástroja, ktorý používate (a nemôžete sa spoľahnúť na to, že túto IP adresu poskytnete priateľovi).
Teraz, keď by ste si mohli prejsť ťažkosťami s manuálnou kontrolou tejto IP adresy zakaždým, keď opustíte dom a máte v úmysle pracovať mimo domova (alebo zakaždým, keď sa váš priateľ pripojí k vášmu serveru Minecraft alebo podobne), je to veľké bolesť hlavy. Namiesto toho vám dôrazne odporúčame nastaviť službu Dynamic DNS, ktorá vám umožní prepojiť vašu (meniacu sa) domácu IP adresu s nezabudnuteľnou adresou, akou je napríklad mysuperawesomeshomeserver.dynu.net.
Venujte pozornosť lokálnym bránam firewall
Po nastavení presmerovania portov na úrovni smerovača existuje možnosť, že budete musieť upraviť pravidlá brány firewall aj vo svojom počítači. V priebehu rokov sme napríklad dostali veľa e-mailov od frustrovaných rodičov, ktorí nastavili presmerovanie portov, aby ich deti mohli hrať Minecraft so svojimi priateľmi. Takmer v každom prípade je problém, že napriek správnemu nastaveniu pravidiel presmerovania portov na smerovači niekto ignoroval požiadavku brány firewall systému Windows s otázkou, či je v poriadku, ak platforma Java (na ktorej je spustený Minecraft) môže pristupovať k väčšiemu internetu.
Uvedomte si, že na počítačoch s lokálnou bránou firewall a/alebo antivírusovým softvérom, ktorý zahŕňa ochranu bránou firewall, budete pravdepodobne musieť potvrdiť, že pripojenie, ktoré ste nastavili, je v poriadku.
Ako nastaviť presmerovanie portov na smerovači
Na smerovači môžete nakonfigurovať presmerovanie portov. Teraz, keď poznáte základy, je to celkom jednoduché.
Aj keď by sme radi poskytli presné pokyny pre presný model smerovača, ktorý vlastníte, realita je taká, že každý výrobca smerovača má svoj vlastný softvér a vzhľad tohto softvéru sa môže dokonca líšiť medzi jednotlivými modelmi smerovačov.
Vo všeobecnosti budete hľadať niečo, čo sa volá – uhádli ste – „Presmerovanie portov“. Možno sa budete musieť pozrieť cez rôzne kategórie, aby ste to našli, ale ak je váš smerovač dobrý, mal by tam byť. Väčšina smerovačov ponúka okrem stolového softvéru alebo rozhraní aj aplikácie.
Prvý krok: Nájdite pravidlá presmerovania portov na smerovači
Namiesto toho, aby sme sa pokúšali zachytiť každú variáciu, zvýrazníme niekoľko, aby sme vám poskytli predstavu, ako ponuka vyzerá, a povzbudíme vás, aby ste si vyhľadali príručku alebo súbory online pomocníka pre váš konkrétny smerovač, aby ste našli špecifiká.
Pre porovnanie, takto vyzerá ponuka presmerovania portov pre xFi Gateway v aplikácii Xfinity:
A takto vyzerá ponuka presmerovania portov na zariadení D-Link DIR-890L s populárnym firmvérom DD-WRT od tretej strany:
Ako vidíte, zložitosť týchto dvoch pohľadov sa značne líši. Navyše umiestnenie je v rámci menu úplne iné. Preto je najužitočnejšie, ak si vyhľadáte presné pokyny pre svoje zariadenie pomocou manuálu alebo vyhľadávacieho dopytu.
Keď nájdete ponuku, je čas nastaviť skutočné pravidlo.
Druhý krok: Vytvorte pravidlo presmerovania portov
Po tom, čo ste sa naučili všetko o presmerovaní portov, nastavení dynamického DNS pre vašu domácu IP adresu a všetkej ďalšej práci, ktorá s tým bola spojená, je dôležitým krokom – vytvorenie skutočného pravidla – do značnej miery prechádzka v parku. V ponuke presmerovania portov na našom smerovači vytvoríme dve nové pravidlá presmerovania portov: jedno pre hudobný server Subsonic a druhé pre nový server Minecraft, ktorý sme práve nastavili.
Napriek rozdielom v umiestnení na rôznych softvéroch smerovača je všeobecný vstup rovnaký. Takmer všeobecne pomenujete pravidlo presmerovania portov. Najlepšie je jednoducho pomenovať, čo je to server alebo služba, a potom to v prípade potreby pridať kvôli prehľadnosti (napr. „Webový server“ alebo „Webový server-Počasie“, ak ich existuje viac). Pamätáte si protokol TCP/UDP, o ktorom sme hovorili na začiatku? Budete tiež musieť zadať TCP, UDP alebo Both. Niektorí ľudia sú veľmi militantní, pokiaľ ide o to, aby presne zistili, aký protokol každá aplikácia a služba používa, a aby sa veci dokonale zhodovali na bezpečnostné účely. Budeme prví, ktorí pripustia, že sme v tomto ohľade leniví a takmer vždy si vyberieme „oboje“, aby sme ušetrili čas.
Niektorý firmvér smerovača, vrátane pokročilejšieho DD-WRT, ktorý používame na obrázku vyššie, vám umožní zadať hodnotu „Source“, čo je zoznam adries IP, na ktoré obmedzujete presmerovanie portu z bezpečnostných dôvodov. Túto funkciu môžete použiť, ak chcete, ale upozorňujeme vás, že prináša úplne nový rad bolestí hlavy, pretože predpokladá, že vzdialení používatelia (vrátane vás, keď ste mimo domova a priateľov, ktorí sa pripájajú) majú statické adresy IP.
Ďalej budete musieť vložiť externý port. Toto je port, ktorý bude otvorený na smerovači a bude smerovať k internetu. Tu môžete použiť ľubovoľné číslo medzi 1 a 65353, ale prakticky väčšinu nižších čísel zaberajú štandardné služby (ako e-mail a webové servery) a mnohé z vyšších čísel sú priradené pomerne bežným aplikáciám. S ohľadom na to vám odporúčame vybrať číslo nad 5 000 a pre väčšiu bezpečnosť pomocou Ctrl+F prehľadať tento dlhý zoznam čísel portov TCP/UDP, aby ste sa uistili, že nevyberáte port, ktorý je v konflikte s existujúcu službu, ktorú už používate.
Nakoniec zadajte internú IP adresu zariadenia, port, ktorý máte na tomto zariadení, a (ak je to možné) zapnite pravidlo. Nezabudnite uložiť nastavenia.
Tretí krok: Otestujte svoje pravidlo presmerovania portov
Najzrejmejším spôsobom, ako skontrolovať, či váš port forward funguje, je pripojiť sa pomocou rutiny určenej pre daný port (napr. nechať svojho priateľa pripojiť svojho klienta Minecraft k vášmu domácemu serveru), ale nie je to vždy okamžite dostupné riešenie, ak nie ste preč. z domu.
Našťastie je k dispozícii malý praktický nástroj na kontrolu portov online na YouGetSignal.com. Môžeme otestovať, či sa náš port servera Minecraft posunul dopredu, jednoducho tým, že sa tester portov pokúsi k nemu pripojiť. Zadajte svoju IP adresu a číslo portu a kliknite na „Skontrolovať“.
Mali by ste dostať správu, ako je uvedené vyššie, napríklad „Port X je otvorený na [vašej IP]“. Ak je port hlásený ako uzavretý, dvakrát skontrolujte nastavenia v ponuke presmerovania portov na smerovači a údaje o vašej IP a porte v testeri.
Presmerovanie portov Xfinity s bránou xFi
Bohužiaľ, ak máte xFi Gateway, už nemôžete robiť všetko na jednom mieste. Xfinity presunulo pravidlá presmerovania portov do aplikácie Xfinity, ale na priradenie statickej adresy IP musíte použiť webové rozhranie.
Prihláste sa do svojej brány xFi zadaním adresy brány do webového prehliadača. Adresa bude zvyčajne 10.0.0.1 alebo 192.168.0.1, ale to nie je zaručené. IP adresu svojho modemu alebo smerovača môžete vždy nájsť manuálne, ak jedna z týchto dvoch adries nefunguje.
Po prihlásení prejdite na Pripojené zariadenia, vyhľadajte svoj server v zozname a potom kliknite na „Upraviť“.
Zaškrtnite „Rezervovaná IP“ a potom kliknite na „Uložiť“.
Vyberte zariadenie alebo lokálnu IP, pre ktoré chcete vytvoriť pravidlo, potom vyberte port a vyberte medzi TCP, UDP alebo TCP/UDP. Potom klepnutím na „Ďalej“ dokončite pravidlo presmerovania portov.
Bežné aplikácie pre presmerovanie portov
Existuje toľko aplikácií na presmerovanie portov, koľko je portov, ale väčšinou ich použijete na nastavenie vzdialeného prístupu, herného servera alebo mediálneho servera. Mnoho ľudí potrebuje presmerovať port pre server Minecraft alebo nastaviť presmerovanie portov SSH. Tu je rýchla referenčná tabuľka pre niektoré z najpopulárnejších aplikácií v týchto kategóriách.
| Application | Ports | Protocol |
| Minecraft (Java) | 25565 | TCP/UDP |
| Minecraft (Bedrock) | 19132-19133 | TCP/UDP |
| Project Zomboid (PZ) | 16261-16262 | TCP/UDP |
| VNC | 5900 | TCP |
| SSH | 22 | TCP |
| Plex Media Server | 32400 | TCP |
It is important to note that SSH uses port 22, and that port is specifically reserved for that use. Other applications (like Minecraft) have staked out such a strong claim they have functionally reserved their ports, though there isn’t anything officially requiring it. You may occasionally find that you have multiple things trying to use the same port. Remember, there are literally tens of thousands of different ports freely available to use, so just pick another one and use that instead.
But before you go opening up all sorts of ports, hosting every single service you can imagine, take some time to review your security practices. Most are fairly simple to get started with, and they can save you a huge headache later.
Security Precautions for Port Forwarding
If you’re port forwarding, you obviously intend for something to be accessible from the Internet. Any time you open up a port you increase your “attack surface.” It is always best to take some preventative measures to mitigate your risk. This isn’t an exhaustive list of things you can do to protect yourself — for that we’d need to write multiple novels — but it is a place to start.
Don’t Run Servers As Admin or Root
It doesn’t matter if you’re hosting a server on Windows, Linux, or any other operating system. Do not use the administrator or root account to host things that are exposed to the Internet. The administrative or root accounts have few (if any) restrictions placed on them. They can perform any operation on your system.
If there is some problem with the service you’re running — like a misconfiguration, bug, or an exploit — administrative or root access dramatically increases the amount of damage that can be done by a malicious attacker. It may even allow someone to compromise other devices attached to your network.
If you use a regular account you’re much less vulnerable — any attacker that gains access to your system will probably also need some kind of privilege escalation exploit to really cause harm.
Disable Root Login Over SSH
If you’re hosting on Linux, you should completely disable root login over SSH. The root user has unlimited access to everything on the system, which makes it a tempting target for would-be evildoers.
Additionally, there is really nothing to be gained by using it, since sudo allows users to execute commands as if they were the root user. Sudo permissions can even be modified on a user-by-user basis, so if you wanted to create a more restricted sudo account to perform basic server administration you could.
You Can Change Your Ports, But Don’t Rely On It
You’ll sometimes encounter the suggestion that you shouldn’t use the default ports for anything you’re hosting. The idea behind this is simple: If someone is scanning IP blocks for specific open ports they want to target, changing the port might reduce the chances that someone will attempt to access your server.
For example, you could change the SSH port from 22 to something like 7281.
Is that effective? Only sorta — it’ll certainly reduce the number of automated hits you take from script kiddies (amateur would-be hackers that use prebuilt software or scripts), and there will subsequently be fewer things in your logs to review. However, it won’t do anything to deter a serious targeted attack by someone knowledgeable.
Security through obscurity isn’t a guarantee, and you should never rely on it to keep your system safe.
Install Fail2Ban on Linux Servers
Fail2Ban is software designed to help secure your server against brute-force attacks. Fail2Ban can be configured to automatically reject connection attempts from any IP address that has tried and failed to log in to your server a certain number of times. Attackers can’t attempt to guess passwords more than a few times without being banned.
Fail2Ban can be set up with more complex behaviors too, so it is well worth learning if you plan on hosting on Linux.
Use Security Keys For SSH Whenever Possible
You should always pick a strong password for your administrative or root account, and any other account that you’ll log in to remotely. Fail2Ban and any other security measures you might enact will try to stop brute-force attacks, but they could fail. Use the strongest password possible.
If you’re using SSH, consider using SSH keys instead of a password. SSH keys are an example of public key cryptography — keys are generated in pairs, one public, and one private. The public key is placed on the computer that you’ll be remotely connecting to. You keep the other member of the pair, the private key, on your computer. When you try to connect, your private key is checked against the key on the server to provide authorization.
Windows, Linux, and MacOS all support SSH keys, so there isn’t much reason not to use them. SSH keys are more secure, and — once setup — every bit as convenient as a password.
Only Allow Connections from Whitelisted Addresses
You can also improve your security by limiting the connections that are allowed to your server. There are two basic ways to do this: a whitelist and a blacklist. A blacklist prohibits connections from specific people or applications. For example, if you know a hacker was attacking your Minecraft server, you might add their IP to a blacklist so it is always rejected. Alternatively, you can use a whitelist, which works the opposite way. Whitelists only allow pre-approved connections, and they can often be restricted to only allow access to a specific application or a specific port.
On Linux, use Universal Firewall (UFW) or FirewallD to create an OS-level whitelist. You can use whichever you prefer, though Debian distros (like Ubuntu) typically come with UFW, and RHEL distros (like Fedora) typically come with FirewallD. On Windows, open Windows Firewall and go to the “Inbound Traffic” tab to create a whitelist.
Individual applications you might host also often come with built-in whitelist functionality, as well. For example, you can add an IP to a Minecraft Server’s whitelist by modifying whitelist.json in the main server directory. The process varies significantly between applications though, and you’ll need to check your application’s documentation for the details.
RELATED: The Best Linux Distributions for Beginners
Consider Separating Your Local Area Network With a VLANs
Your home local area network (LAN) is typically a bit of a free-for-all. There is much less security between devices on a LAN than between a device on the Internet and a device on the LAN. The general assumption is that devices attached to your LAN are trusted devices, and that they don’t pose much of a security risk.
If you’re hosting an internet-facing service, however, that is not a safe assumption. If there is a fault in the service you’re hosting, or your other security practices, it is possible that an attacker can compromise your server and through it gain access to other devices on your local area network. It is potentially a huge security breach.
One solution is a Virtual LAN, or VLAN. A VLAN is a separate virtual local area network that is isolated — through software — from the “real” LAN that all of your other devices are on. You can limit exactly what kind of traffic is allowed to pass between the VLAN containing your internet-facing server and the VLAN that all of your normal devices are on. This creates a pretty effective barrier between your server and your other devices should a malicious attacker compromise your server. Setting up a VLAN can be a bit complicated, and the details will vary depending on your hardware. Not all consumer routers support VLANs either, so if you don’t see it, it probably isn’t there.
If your router doesn’t support VLANs, you have a few options. You can buy a new router that does support them, or you can add a managed network switch. Managed network switches start at about $30, so they’re probably the least expensive way to set up a VLAN at home if your current hardware doesn’t support it.
It’s a wee bit of a hassle to set up port forwarding, but as long as you assign a static IP address to the target device and set up a dynamic DNS server for your home IP address, it’s a task you only need to visit once to enjoy hassle free access to your network in the future.
The Best Wi-Fi Routers of 2023 
