Port Forwarding là gì?

Port Forwarding nghe có vẻ phức tạp hơn nhiều so với thực tế. Nó giống như nhận một chồng thư trong hộp thư của bạn và sau đó phát thư cho từng  thành viên gia đình.

Port Forwarding thường liên quan đến chơi game, nhưng nó còn có những cách sử dụng khác. Trong bài viết hôm nay, Quantrimang.com sẽ giải thích cổng là gì, tại sao chúng cần được chuyển tiếp, cách thiết lập Port Forwarding trên router thông thường và các vấn đề phổ biến có thể được giải quyết bằng Port Forwarding.

Cổng là gì?

Bạn có thể đã biết địa chỉ IP là gì. Mọi thiết bị trên mạng (điện thoại thông minh, máy tính, console hoặc bất kỳ thiết bị nào khác được cắm vào router hay kết nối với WiFi) đều được cấp một địa chỉ IP. Nhưng có hai loại địa chỉ IP: Public và Private.

Địa chỉ IP public là những gì các máy tính khác trên Internet nhìn thấy khi bạn kết nối với chúng. Nó được nhà cung cấp dịch vụ Internet (ISP) gán cho modem của bạn. Bạn có thể sử dụng Google hoặc DuckDuckGo để kiểm tra địa chỉ IP public của mình.

Mặt khác, các địa chỉ IP private được sử dụng trên các mạng nội bộ - những thiết bị được kết nối với cùng một router. Đôi khi chúng cần "giao tiếp" với nhau, chẳng hạn như truyền file giữa hai máy tính hoặc sử dụng máy in mạng.

Tóm lại, IP public giống như địa chỉ nhà của bạn - bao gồm mã zip, tên đường/phố và tòa nhà - còn IP private sẽ là số căn hộ, chỉ hữu ích khi bạn đã vào trong tòa nhà.

Khi truy cập một trang web, bạn đang yêu cầu trả lại một số dữ liệu cho thiết bị của mình. Để làm điều đó, web server phải được cung cấp địa chỉ IP public và private của bạn. Dữ liệu được gửi lại từ trang web, đầu tiên đến router bằng IP public, sau đó đến thiết bị của bạn bằng IP private.

Điều này khá đơn giản khi nói tới việc duyệt web, nhưng còn khi bạn yêu cầu các loại dữ liệu khác nhau - chẳng hạn như email hoặc nơi kẻ thù đã di chuyển trong game nhiều người chơi -  thì sao? Làm thế nào để máy tính của bạn biết dữ liệu sẽ được cung cấp cho ứng dụng nào? Vì gửi email mới nhất của bạn tới game Call of Duty sẽ chẳng có ý nghĩa gì.

Đó là nơi các cổng phát huy vai trò.

Cổng mạng chuyển dữ liệu như thế nào?

Các cổng giống như những đường ống phân loại thư bên trong máy tính. Khi dữ liệu đến thiết bị của bạn, hệ điều hành sẽ kiểm tra số cổng dành cho dữ liệu đó. Mỗi cổng có thể tương ứng với một ứng dụng khác nhau và có tới 65536 cổng.

1024 cổng đầu tiên trong số này được tiêu chuẩn hóa. Ví dụ, lưu lượng truy cập web không bảo mật đi qua cổng 80, trong khi trang web bảo mật sử dụng cổng 443. Email over POP3 sử dụng cổng 110, còn email SMTP gửi đi sử dụng cổng 25. Wikipedia có danh sách đầy đủ các cổng tiêu chuẩn.

Vì vậy, khi bạn mở một trang web HTTPS, dữ liệu sẽ trả về máy tính của bạn theo thứ tự sau: IP public (modem/tên phố), IP private (máy tính của bạn trong mạng nội bộ của router/số căn hộ) và cuối cùng là cổng 443 (ứng dụng đã sử dụng HTTPS/tên của bạn trên bì thư).

Từ cổng 1025 đến 65536, không có quy định rõ ràng. Các ứng dụng mới được tạo ra hàng ngày và cần phải có sẵn những đường dẫn đến trang web. Nếu một phần mềm duy nhất sử dụng độc quyền một trong các cổng này, thì những công cụ khác sẽ không thể sử dụng cổng đó nữa.

Các ứng dụng được kết nối với web có thể chọn cổng mà chúng muốn sử dụng. Mặc dù nghe có vẻ khó khăn và tốn thời gian, nhưng có một giải pháp cho vấn đề này: Universal Plug and Play (UPnP).

UPnP là gì và nó hoạt động như thế nào?

Việc luôn mở tất cả các cổng là một rủi ro bảo mật rất lớn, vì vậy bất kỳ cổng không chuẩn nào (cổng 1025 trở đi) đều bị chặn theo mặc định trên hầu hết các router. Điều này ngăn các yêu cầu độc hại tiếp cận những service có thể đang chạy trên mạng. Tuy nhiên, các cổng bị đóng cũng gây rắc rối cho những ứng dụng trực tuyến - router sẽ chặn chúng như một tính năng bảo mật. Do đó, ứng dụng cần nói với router: "Này, tôi đang sử dụng cổng này; hãy để nó mở".

UPnP được phát minh để tự động hóa quá trình này. Các ứng dụng có thể yêu cầu mở một cổng và router sẽ tự động thiết lập các quy tắc Port Forwarding được yêu cầu. Điều này không phải là không có rủi ro. Ví dụ, nếu phần mềm độc hại được cài đặt trên máy tính của bạn, phần mềm độc hại đó sẽ được router tin cậy, do đó có thể mở các cổng phục vụ cho những hoạt động độc hại.

Vì UPnP có thể nguy hiểm nếu bị khai thác, nên nhiều người đã vô hiệu hóa nó. Một ví dụ phổ biến mà UPnP sẽ bị vô hiệu hóa là trong nhóm CNTT tại một công ty lớn. Thông thường, mỗi bộ phận yêu cầu một bộ chương trình cụ thể. Mọi người đều sử dụng email, nhưng việc quản lý bảng lương trực tuyến chủ yếu dành cho bộ phận Kế toán - Nhân sự và không chắc ai đó không thuộc bộ phận hỗ trợ khách hàng sẽ cần tới ZenDesk.

Trong những trường hợp như vậy, UPnP bị tắt và các cổng cần thiết cho quy trình làm việc của mỗi nhóm chỉ được mở cho các máy tính cần chúng. Tuy nhiên, ngay cả khi bạn chưa tắt UPnP, đôi khi nó cũng không hoạt động bình thường. Vì vậy, hãy xem cách bạn có thể tạo quy tắc Port Forwarding theo cách thủ công.

Vô hiệu hóa UPnP và sử dụng Port Forwarding thủ công

Bất kỳ ai cũng có thể tắt UPnP tại nhà để tăng cường bảo mật - điều này cho phép kiểm soát chi tiết cổng nào được mở cho mỗi thiết bị. Chỉ cần làm theo các hướng dẫn dưới đây.

Bước 0: Những thứ cần cho Port Forwarding

Để thiết lập Port Forwarding thành công, bạn cần một số thông tin.

• Địa chỉ IP của router để truy cập trang quản trị router. Thông thường, có một nhãn dán liệt kê điều này trên router, cùng với tên người dùng và mật khẩu mặc định. Nếu bạn không chắc chắn, Port Forward sẽ liệt kê các địa chỉ router mặc định của nhà sản xuất.
• Cổng (hoặc phạm vi cổng) nào cần được chuyển tiếp - phần mềm yêu cầu Port Forwarding sẽ liệt kê chúng.
• Địa chỉ IP private cho thiết bị sẽ mở cổng.
• Một số ứng dụng cũng chỉ định xem chúng sử dụng gói UDP hay TCP. Sự khác biệt không quan trọng và bạn có thể chọn cả hai - không có sự cố hay rủi ro bảo mật nào khi làm như vậy.

Nhiều router hiện đại có các ứng dụng tích hợp để cấu hình router dễ dàng.

Bước 1: Vô hiệu hóa UPnP

Trước khi tiếp tục, đây là một vài lưu ý:

• Hướng dẫn Port Forwarding sau sử dụng thiết bị combo modem/router Nokia G-140W-H. Router của các nhà sản xuất khác sử dụng những menu khác nhau, nhưng nội dung về cơ bản sẽ giống nhau.
• Nếu bạn sử dụng thiết bị combo modem/router và không thể tìm thấy các tùy chọn Port Forwarding/UPnP, ISP của bạn có thể chặn các cài đặt này. Trong những trường hợp như vậy, hãy liên hệ với bộ phận hỗ trợ khách hàng của nhà cung cấp.
• Port Forwarding cần được thiết lập cho từng ứng dụng trên mỗi thiết bị. UPnP chỉ cần tắt một lần vì nó ảnh hưởng đến toàn bộ router.

Trang chủ của router sẽ hiển thị sau khi đăng nhập. Đối với Nokia G-140W-H, các menu nằm ở phía bên trái, với UPnP và Port Forwarding trong Application.

Vô hiệu hóa UPnP trong hầu hết các trường hợp cũng dễ dàng như bỏ chọn nút chuyển đổi và nhấp vào Save/Apply. Nếu tùy chọn này đã bị tắt thì không cần thực hiện hành động nào.

Bước 2: Kích hoạt Port Forwarding

Khi UPnP bị tắt, đã đến lúc mở các cổng cần thiết cho những ứng dụng của bạn.

Nhiều router liệt kê hàng tá phần mềm/thiết bị phổ biến cần Port Forwarding. Hầu hết trong số chúng là game, nhưng cũng có các tiện ích IoT, ứng dụng chia sẻ file, trình nhắn tin tức thì, v.v...

Nếu ứng dụng hoặc thiết bị không được liệt kê, bạn sẽ cần tạo quy tắc Port Forwarding tùy chỉnh. Điều đó dễ dàng hơn bạn tưởng và mọi thứ bạn cần đều được liệt kê trong Bước 0 ở phần đầu của hướng dẫn này. Nhập cổng (hoặc phạm vi cổng), rồi đặt tên cho quy tắc mới. Số cổng WAN và LAN phải giống nhau.

Cho dù ứng dụng hoặc dịch vụ có được liệt kê hay không, bạn cần chỉ ra thiết bị nào cần Port Forwarding đó. World of Warcraft sẽ không hoạt động nếu được liên kết với điện thoại của bạn thay vì máy tính chạy game.

Một số router mới hơn ghi nhớ các thiết bị theo tên, được thiết lập trong chính thiết bị đó. Bằng cách này, tính năng Port Forwarding hoạt động ngay cả khi địa chỉ IP private thay đổi. Đối với các router không có tính năng này, bạn sẽ cần địa chỉ IP private, địa chỉ này cũng được đề cập trong Bước 0.

Kiểm tra kỹ mọi thứ, nhấp vào Save/Apply là xong. Khởi động lại router là không cần thiết nhưng cũng không ảnh hưởng gì.

Điều quan trọng cần nhớ là mỗi ứng dụng cần Port Forwarding phải được thiết lập quy tắc Port Forwarding trên mỗi thiết bị mà ứng dụng đó được cài đặt. Ví dụ, nếu bạn có 3 máy tính chạy cùng một phần mềm, bạn sẽ cần tạo quy tắc trên từng máy tính. Điều tương tự cũng xảy ra với một máy tính có các chương trình khác nhau yêu cầu Port Forwarding. Mọi phần mềm đều yêu cầu quy tắc riêng.

Khắc phục sự cố Port Forwarding

Nếu bạn đã tắt UPnP và tính năng Port Forwarding đã được thiết lập, nhưng bạn khởi chạy ứng dụng và... không có kết nối. Hãy thử một số giải pháp.

Đầu tiên, hãy kiểm tra lại xem các cài đặt đã chính xác chưa. Rất dễ gõ nhầm "192.168.1.29" thay vì "192.168.1.19" hoặc viết sai số cổng.

Trên trang Port Forwarding, xác nhận cùng một thiết bị vẫn sử dụng địa chỉ IP private mà bạn đã chọn để Port Forwarding. Nếu router đã khởi động lại, địa chỉ IP có thể bị thay đổi. Nhiều router tự động khởi động lại sau bất kỳ thay đổi cấu hình nào và các thiết bị combo modem/router xử lý cài đặt ISP khởi động lại thường xuyên.

Ví dụ, bạn đã cấu hình Port Forwarding 10.0.0.4 cho điện thoại, nhưng sau khi khởi động lại, router lại gán địa chỉ này cho TV.

Trong trường hợp này, bạn sẽ cần liên kết MAC, liên kết địa chỉ MAC (Media Access Control, mã định danh duy nhất cho network adapter) với một IP tĩnh. Bằng cách này, bất cứ khi nào thiết bị đó kết nối với router, nó sẽ có cùng một IP.

Có thể khắc phục sự cố Port Forwarding Double-NAT không?

Một vấn đề Port Forwarding phổ biến khác là Double-NAT.

Port Forwarding sẽ chỉ hữu ích nếu bạn có một địa chỉ IP public duy nhất. Trong một số trường hợp, địa chỉ IP của bạn sẽ được chia sẻ với những người dùng khác. Thực tế, bạn có một lớp định tuyến khác nằm ngoài tầm kiểm soát của mình trước khi tiếp cận Internet rộng lớn hơn.

Điều này khá phổ biến trong ký túc xá đại học và một số khu chung cư với các tùy chọn Internet hạn chế. Port Forwarding sẽ không hữu ích trong trường hợp này vì các cổng vẫn sẽ bị chặn trên router khác mà bạn không thể kiểm soát, vì vậy các gói sẽ không bao giờ đến được router của bạn. Thật không may, không phải lúc nào cũng có thể khắc phục tình trạng Double-NAT.

Nếu bạn có thể cấu hình cả hai router, thì router gần nhất với phía public (thường là do ISP cung cấp) sẽ được chuyển sang chế độ Bridge. Điều này vô hiệu hóa tất cả các tính năng định tuyến, bao gồm mọi WiFi tích hợp, biến nó thành một modem đơn giản một cách hiệu quả.

Điều này có thể cần thiết để tinh chỉnh các kết nối gia đình. Ví dụ, người dùng thành thạo có thể ưu tiên router của họ chạy OpenWRT và một số mạng mesh trở nên đáng tin cậy hơn khi sử dụng modem ở chế độ Bridge.

Một số router do ISP cung cấp không cho phép bạn làm điều này. Nếu không thể, bạn cũng có thể thử thiết lập DMZ trỏ đến router khác của mình. Điều này nằm ngoài phạm vi của hướng dẫn, nhưng về cơ bản có nghĩa là "tin tưởng mọi thứ và chuyển tiếp tất cả lên thiết bị khác để xử lý."