Удаленное управление серверами, находящимися за маршрутизатором
В повседневной работе сталкиваюсь с необходимостью выполнять некоторые операции на серверах, находящихся в удаленных офисах. Иногда задача усложняется еще и тем, что сервер смотрит в интернет не напрямую, а через NAT. На выручку приходит порт-форвардинг на маршрутизаторе.
К примеру, нам нужно получить доступ к Windows-серверу, имеющему внутренний IP-адрес 192.168.0.10, спрятанный за маршрутизатором с IP 89.94.250.116. Порт ожидания для RDP — TCP 3389, для SSH — 22. Создаем на маршрутизаторе правило, где source — WAN (интерфейс, смотрящий в интернет), destination — Firewall (маршрутизатор), Service/Port (сервис/порт) — произвольно выбранный порт, желательно из диапазона 20.000-50.000 (на самом деле можно использовать абсолютно произвольный порт, но т.к. правило, возможно, будет работать не один год, необходимо использовать порт, не привязанный к широко распространенным сервисам и службам), скажем, 22.000, действие — Permit (разрешить), translation — MAP 192.168.0.10 PORT 3389.
Если перевести данное правило на человеческий язык, то мы получим следующее: при обращении к маршрутизатору с произвольного внешнего хоста на порт 22.000 транслировать данное обращение к внутреннему хосту с IP-адресом 192.168.0.10 на порт 3389.
Подобные правила можно создавать на практически любых программных маршрутизаторах, вроде Kerio Winroute Firewall, MS ISA, UserGate, а также на абсолютном большинстве аппаратных маршрутизаторов.