نقل البضائع

إعادة توجيه المنافذ عبر موجه NAT

في مجال شبكات الحاسوب ، يُعدّ توجيه المنافذ أو تعيينها أحد تطبيقات ترجمة عناوين الشبكة (NAT)، حيث يُعيد توجيه طلب الاتصال من عنوان ورقم منفذ إلى آخر أثناء مرور الحزم عبر بوابة الشبكة، مثل جهاز التوجيه أو جدار الحماية . تُستخدم هذه التقنية عادةً لجعل الخدمات الموجودة على مضيف ضمن شبكة محمية أو مُقنّعة (داخلية) متاحةً للمضيفين على الجانب الآخر من البوابة (الشبكة الخارجية)، وذلك عن طريق إعادة تعيين عنوان IP الوجهة ورقم المنفذ للاتصال إلى مضيف داخلي. [ 1 ] [ 2 ]

غاية

تُسهّل خاصية إعادة توجيه المنافذ اتصال أجهزة الكمبيوتر البعيدة، مثل مضيفي الإنترنت ، بجهاز كمبيوتر أو خدمة معينة داخل شبكة محلية (LAN). [ 3 ]

في شبكة منزلية نموذجية، تحصل الأجهزة على اتصال بالإنترنت عبر مودم DSL أو مودم كابل متصل بجهاز توجيه أو مترجم عناوين الشبكة (NAT/NAPT). تتصل الأجهزة على الشبكة الخاصة بمحول إيثرنت أو تتواصل عبر شبكة محلية لاسلكية . يتم تكوين الواجهة الخارجية لجهاز NAT بعنوان IP عام. أما أجهزة الكمبيوتر المتصلة بجهاز التوجيه، فهي غير مرئية للأجهزة على الإنترنت، حيث يتواصل كل منها فقط باستخدام عنوان IP خاص.

عند إعداد توجيه المنافذ، يخصص مسؤول الشبكة رقم منفذ واحد على البوابة لاستخدامه حصريًا في التواصل مع خدمة داخل الشبكة الخاصة، موجودة على مضيف محدد. يجب أن تعرف المضيفات الخارجية رقم هذا المنفذ وعنوان البوابة للتواصل مع الخدمة الداخلية للشبكة. غالبًا ما تُستخدم أرقام منافذ خدمات الإنترنت المعروفة، مثل المنفذ 80 لخدمات الويب (HTTP)، في توجيه المنافذ، مما يسمح بتنفيذ خدمات الإنترنت الشائعة على المضيفات داخل الشبكات الخاصة.

تشمل التطبيقات النموذجية ما يلي:

يقوم المسؤولون بضبط توجيه المنافذ في نظام تشغيل البوابة. في نواة لينكس ، يتم ذلك عبر قواعد تصفية الحزم في مكونات نواة iptables أو netfilter . أما أنظمة تشغيل BSD و macOS قبل Yosemite (الإصدار 10.10.X) فتُنفذ هذه الميزة في وحدة Ipfirewall (ipfw)، بينما تُنفذها أنظمة macOS بدءًا من Yosemite في وحدة Packet Filter (pf).

عند استخدام توجيه المنافذ على أجهزة البوابة، يمكن تطبيقه بقاعدة واحدة لترجمة عنوان الوجهة ومنفذها (في نواة لينكس ، تُعرف هذه القاعدة بقاعدة DNAT). في هذه الحالة، يبقى عنوان المصدر ومنفذه دون تغيير. أما عند استخدامه على أجهزة ليست البوابة الافتراضية للشبكة، فيجب تغيير عنوان المصدر ليصبح عنوان الجهاز المُترجم، وإلا ستتجاوز الحزم المُترجم وسيفشل الاتصال.

عندما يتم تنفيذ إعادة توجيه المنفذ بواسطة عملية وسيطة (مثل جدران الحماية على مستوى التطبيق، أو جدران الحماية القائمة على بروتوكول SOCKS ، أو عبر خوادم وسيطة لدائرة TCP)، لا تتم ترجمة أي حزم بيانات، بل يتم توجيه البيانات فقط. ويؤدي هذا عادةً إلى تغيير عنوان المصدر (ورقم المنفذ) إلى عنوان جهاز الوسيط.

عادةً ما يكون بإمكان مضيف واحد فقط من المضيفين الخاصين استخدام منفذ إعادة توجيه معين في وقت واحد، ولكن من الممكن أحيانًا تكوين إمكانية التمييز بين الوصول عن طريق عنوان المصدر الخاص بالمضيف الأصلي.

تستخدم أنظمة التشغيل الشبيهة بنظام يونكس أحيانًا إعادة توجيه المنافذ، حيث لا يمكن إنشاء منافذ بأرقام أقل من 1024 إلا بواسطة البرامج التي تعمل بصلاحيات المستخدم الجذر. قد يُشكل تشغيل البرامج بصلاحيات المستخدم الجذر (لربط المنفذ) خطرًا أمنيًا على النظام المضيف، لذا تُستخدم إعادة توجيه المنافذ لإعادة توجيه منفذ ذي رقم منخفض إلى منفذ آخر ذي رقم مرتفع، مما يسمح بتشغيل البرامج التطبيقية كمستخدم نظام تشغيل عادي بصلاحيات محدودة.

يوفر بروتوكول التوصيل والتشغيل العالمي (UPnP) ميزةً لتثبيت نسخ توجيه المنافذ تلقائيًا في بوابات الإنترنت المنزلية. يُعرّف UPnP بروتوكول جهاز بوابة الإنترنت (IGD)، وهو خدمة شبكية تُعلن من خلالها بوابة الإنترنت عن وجودها على شبكة خاصة عبر بروتوكول اكتشاف الخدمة البسيط (SSDP). يمكن لتطبيق يُقدّم خدمةً عبر الإنترنت اكتشاف هذه البوابات واستخدام بروتوكول UPnP IGD لحجز رقم منفذ على البوابة، مما يُجبر البوابة على توجيه الحزم إلى منفذ الاستماع الخاص بها .

الأنواع

يمكن تمييز إعادة توجيه المنافذ بالأنواع المحددة التالية: إعادة توجيه المنافذ المحلية، وإعادة توجيه المنافذ البعيدة، وإعادة توجيه المنافذ الديناميكية. [ 4 ]

إعادة توجيه الموانئ المحلية

يُعدّ توجيه المنافذ المحلي النوع الأكثر شيوعًا. يُستخدم لتمكين المستخدم من الاتصال من جهازه المحلي بخادم آخر، أي توجيه البيانات بشكل آمن من تطبيق عميل آخر يعمل على نفس الجهاز الذي يعمل عليه عميل Secure Shell (SSH). باستخدام توجيه المنافذ المحلي، يمكن تجاوز جدران الحماية التي تحظر بعض صفحات الويب. [ 5 ]

تُعاد توجيه الاتصالات من عميل SSH، عبر خادم SSH، إلى خادم الوجهة المقصود. يُهيأ خادم SSH لإعادة توجيه البيانات من منفذ محدد (محلي على الجهاز المضيف الذي يُشغل عميل SSH) عبر نفق آمن إلى مضيف ومنفذ وجهة محددين. يقع المنفذ المحلي على نفس جهاز عميل SSH، ويُسمى هذا المنفذ "المنفذ المُعاد توجيهه". على نفس الجهاز، يمكن تهيئة أي عميل يرغب في الاتصال بنفس مضيف ومنفذ الوجهة للاتصال بالمنفذ المُعاد توجيهه (بدلاً من الاتصال مباشرةً بمضيف ومنفذ الوجهة). بعد إنشاء هذا الاتصال، يستمع عميل SSH على المنفذ المُعاد توجيهه، ويُعيد توجيه جميع البيانات المُرسلة من التطبيقات إلى هذا المنفذ، عبر نفق آمن إلى خادم SSH. يقوم الخادم بفك تشفير البيانات، ثم يُعيد توجيهها إلى مضيف ومنفذ الوجهة. [ 6 ]

بعض استخدامات إعادة توجيه المنافذ المحلية:

  • استخدام إعادة توجيه المنفذ المحلي لاستقبال البريد [ 7 ]
  • الاتصال بموقع ويب من جهاز كمبيوتر محمول باستخدام نفق SSH.

إعادة توجيه المنافذ عن بعد

يُمكّن هذا النوع من إعادة توجيه المنافذ التطبيقات الموجودة على جانب الخادم في اتصال Secure Shell (SSH) من الوصول إلى الخدمات الموجودة على جانب العميل في SSH. [ 8 ] بالإضافة إلى SSH، توجد أنظمة أنفاق خاصة تستخدم إعادة توجيه المنافذ عن بُعد لنفس الغرض العام. [ 9 ] بعبارة أخرى، تُمكّن إعادة توجيه المنافذ عن بُعد المستخدمين من الاتصال من جانب الخادم في نفق، سواء كان SSH أو غيره، بخدمة شبكة بعيدة موجودة على جانب العميل في النفق.

لاستخدام إعادة توجيه المنافذ عن بُعد، يجب معرفة عنوان خادم الوجهة (على جانب عميل النفق) ورقمي منفذين. وتعتمد أرقام المنافذ المختارة على التطبيق المراد استخدامه.

تتيح خاصية إعادة توجيه المنافذ عن بُعد لأجهزة الكمبيوتر الأخرى الوصول إلى التطبيقات المستضافة على خوادم بعيدة. مثالان على ذلك:

  • يستضيف أحد موظفي الشركة خادم FTP في منزله ويرغب في منح موظفي الشركة الذين يستخدمون أجهزة الكمبيوتر في مكان العمل إمكانية الوصول إلى خدمة FTP. ولتحقيق ذلك، يمكن للموظف إعداد توجيه المنافذ عن بُعد عبر SSH على أجهزة الكمبيوتر الداخلية للشركة، وذلك بإضافة عنوان خادم FTP الخاص به واستخدام أرقام المنافذ الصحيحة لبروتوكول FTP (المنفذ القياسي لبروتوكول FTP هو TCP/21) [ 10 ].
  • يُعد فتح جلسات سطح المكتب البعيد استخدامًا شائعًا لإعادة توجيه المنافذ عن بُعد. ومن خلال بروتوكول SSH، يمكن تحقيق ذلك عن طريق فتح منفذ الحوسبة في الشبكة الافتراضية (5900) وإضافة عنوان جهاز الكمبيوتر الوجهة. [ 6 ]

إعادة توجيه المنفذ العكسي

اسم آخر: نفق SSH العكسي. ببساطة، عندما يتصل حاسوبك المحمول بجهاز بعيد بطريقة تسمح بتحويل المكالمات الواردة إلى عنوان IP الخاص بذلك الجهاز البعيد إلى حاسوبك المحمول، ثم يقوم بالرد عليها. [ 11 ]

إعادة توجيه المنافذ الديناميكية

إعادة توجيه المنافذ الديناميكية (DPF) هي طريقة عند الطلب لتجاوز جدار الحماية أو NAT باستخدام ثغرات في جدار الحماية. والهدف منها هو تمكين العملاء من الاتصال بشكل آمن بخادم موثوق يعمل كوسيط لإرسال/استقبال البيانات إلى خادم وجهة واحد أو أكثر. [ 12 ]

يمكن تطبيق بروتوكول DPF عن طريق إعداد تطبيق محلي، مثل SSH، كخادم وكيل SOCKS ، والذي يُستخدم لمعالجة عمليات نقل البيانات عبر الشبكة أو الإنترنت. يجب تهيئة البرامج، مثل متصفحات الويب، بشكل فردي لتوجيه حركة البيانات عبر الوكيل، الذي يعمل كقناة آمنة إلى خادم آخر. بمجرد انتهاء الحاجة إلى الوكيل، يجب إعادة تهيئة البرامج إلى إعداداتها الأصلية. ونظرًا لمتطلبات DPF اليدوية، فإنه لا يُستخدم كثيرًا. [ 6 ]

بمجرد إنشاء الاتصال، يمكن استخدام بروتوكول DPF لتوفير حماية إضافية للمستخدم المتصل بشبكة غير موثوقة. ولأن البيانات يجب أن تمر عبر نفق آمن إلى خادم آخر قبل إعادة توجيهها إلى وجهتها الأصلية، فإن المستخدم يكون محميًا من عمليات التجسس على الحزم التي قد تحدث على الشبكة المحلية. [ 13 ]

يُعدّ DPF أداةً فعّالةً ذات استخداماتٍ عديدة؛ فعلى سبيل المثال، قد يرغب المستخدم المتصل بالإنترنت عبر مقهى أو فندق أو أي شبكة أخرى ذات مستوى أمانٍ منخفض في استخدام DPF كوسيلةٍ لحماية بياناته. كما يُمكن استخدام DPF لتجاوز جدران الحماية التي تُقيّد الوصول إلى المواقع الإلكترونية الخارجية، كما هو الحال في شبكات الشركات.

انظر أيضاً

مراجع

  1. "تعريف: إعادة توجيه المنافذ" . مجلة الكمبيوتر الشخصي . مؤرشف من الأصل بتاريخ 2012-06-03 . تم الاطلاع عليه بتاريخ 2008-10-11 .
  2. روري كراوس. "استخدام إعادة توجيه منفذ SSH للطباعة من مواقع بعيدة" . مجلة لينكس . تم الاطلاع عليه بتاريخ 11-10-2008 .
  3. جيف "كراش" غولدين. "كيفية إعداد خادم ويب منزلي" . ريد هات . مؤرشف من الأصل بتاريخ 4 أكتوبر 2008. تم الاطلاع عليه بتاريخ 11 أكتوبر 2008 .
  4. إعادة توجيه منفذ OpenSSH
  5. "إعادة توجيه المنافذ المحلية والبعيدة وانعكاسها لعميل تكنولوجيا المعلومات الآمن 7.1 أو أعلى - ملاحظة فنية رقم 2433" . Support.attachmate.com. 9 نوفمبر 2012. تاريخ الاطلاع: 30 يناير 2014 .
  6. 1 2 3 "SSH/OpenSSH/PortForwarding - وثائق مجتمع أوبونتو" . Help.ubuntu.com. 13-12-2013 . تم الاطلاع عليه بتاريخ 30-01-2014 .
  7. "مثال - استخدام إعادة توجيه المنفذ المحلي لاستقبال البريد (دليل إدارة النظام: خدمات الأمان)" . Docs.oracle.com . تم الاطلاع عليه بتاريخ 30 يناير 2014 .
  8. "التمرير عبر بروتوكول Secure Shell - الملحق أ: إعادة توجيه المنافذ عن بُعد" . Vandyke.com. 12-06-2005 . تاريخ الاسترجاع: 30-01-2014 .
  9. "إعادة توجيه المنافذ المحلية مقابل إعادة توجيه المنافذ البعيدة" . NetworkActiv . مؤرشف من الأصل في 4 نوفمبر 2016. تم الاطلاع عليه في 8 يونيو 2014 .
  10. "رقم منفذ FTP 21 - منفذ TCP 21" . Compnetworking.about.com. 19-12-2013. مؤرشف من الأصل بتاريخ 03-02-2014 . تم الاطلاع عليه بتاريخ 30-01-2014 .
  11. "نفق SSH العكسي - من البداية إلى النهاية" . JFrog . 15 أغسطس 2021. تاريخ الاسترجاع: 15 أكتوبر 2024 .
  12. "آلية مرشح جسيمات الديزل" . Pages.cs.wisc.edu . تم الاطلاع عليه بتاريخ 30-01-2014 .
  13. "إعادة توجيه المنافذ الديناميكية عبر SSH (سلسلة فيديوهات تعليمية لأمن المعلومات من Hacking Illustrated Series)" . Irongeek.com . تم الاطلاع عليه بتاريخ 30 يناير 2014 .