przekierowanie portów

Konfiguracja routera kierująca ruch z określonego portu publicznego na konkretne urządzenie w sieci lokalnej. Umożliwia dostęp do usług z zewnątrz.

Przekierowanie portów (ang. port forwarding) to reguła na routerze, która mówi: „ruch przychodzący na konkretny port z internetu wpuść do tego jednego urządzenia w sieci lokalnej”. Bez niej router stosuje NAT i domyślnie odrzuca nieproszone połączenia z zewnątrz, bo nie wie, do której maszyny w LAN je skierować. Ty mu to po prostu wpisujesz na sztywno.

Działa to tak: definiujesz port zewnętrzny (publiczny), protokół (TCP, UDP albo oba) oraz docelowy adres IP w sieci lokalnej i port wewnętrzny. Gdy ktoś łączy się z Twoim publicznym IP na tym porcie, router przepisuje adres docelowy pakietu na wskazane urządzenie. Najczęstsze zastosowania: wystawienie własnego serwera gry (np. Minecraft), zdalny pulpit, kamera IP, NAS, serwer WWW na domowej maszynce albo dostęp przez SSH do peceta z poza domu.

Przykład z praktyki

Chcesz dostać się przez SSH do swojego serwerka stojącego pod biurkiem (IP lokalne 192.168.1.50, port 22), będąc na wyjeździe. W panelu routera dodajesz regułę: port zewnętrzny 2222 (celowo inny niż 22, żeby nie zbierać botów), protokół TCP, kierowany na 192.168.1.50:22. Potem łączysz się z dowolnego miejsca:

ssh -p 2222 user@twoj-publiczny-ip

Skąd znać publiczny IP? Sprawdzisz przez curl ifconfig.me. Jeśli IP się zmienia, dorzuć DDNS (np. DuckDNS), żeby mieć stałą nazwę zamiast ganiania za adresem.

Na co uważać

  • To otwiera furtkę do internetu. Każdy przekierowany port to potencjalny cel skanera. Wystawiasz tylko to, co musisz, i pilnujesz aktualizacji oraz mocnych haseł (a dla SSH — kluczy zamiast haseł).
  • Urządzenie docelowe powinno mieć stały lokalny IP. Inaczej DHCP przydzieli mu jutro inny adres i reguła trafi w próżnię. Użyj rezerwacji DHCP albo statycznego IP.
  • CGNAT psuje zabawę. Wielu operatorów (zwłaszcza na łączach mobilnych i światłowodach) nie daje Ci publicznego IP, tylko współdzielony. Wtedy port forwarding nie zadziała — trzeba poprosić o publiczny adres albo użyć tunelu (Tailscale, Cloudflare Tunnel, ngrok).
  • UPnP to nie to samo. Pozwala aplikacjom otwierać porty automatycznie — wygodne, ale bywa dziurą bezpieczeństwa. Reguły ręczne masz pod kontrolą.

Pojęcia powiązane: NAT, DMZ, port triggering, DDNS, CGNAT, firewall, reverse proxy oraz VPN i tunele jako bezpieczniejsza alternatywa, gdy nie chcesz wystawiać niczego wprost na świat.