Ваш сайт, сервер или панель управления работают внутри локальной сети, но снаружи к ним невозможно подключиться? В браузере пусто, SSH не отвечает, FTP-клиент зависает, а провайдер уверяет, что с интернетом всё в порядке. В такой ситуации часто проблема не в самом сервере, а в отсутствии проброса портов.

Проброс портов, или port forwarding, — это настройка роутера, которая направляет входящие подключения из интернета на конкретное устройство внутри вашей сети. Например, запрос приходит на внешний IP-адрес по порту 80, а роутер передаёт его на локальный сервер с адресом 192.168.0.42.

Эта настройка нужна тем, кто самостоятельно размещает сайты, держит домашний сервер, подключается к системе по SSH, настраивает FTP, управляет NAS, запускает игровой сервер или хочет открыть доступ к внутренней панели администрирования. Без проброса роутер просто не поймёт, куда отправлять входящий трафик.

Важно: проброс портов — это не «хакерская» настройка и не способ обойти безопасность. Это нормальный инструмент управления сетью. Но использовать его нужно аккуратно: открывать только нужные порты, ограничивать доступ, следить за фаерволом и не оставлять лишние службы доступными из интернета.

Что такое проброс портов простыми словами

Проброс портов — это правило на роутере, которое говорит:

«Если запрос пришёл из интернета на определённый порт, отправь его на конкретное устройство внутри локальной сети».

В обычной домашней или офисной сети все устройства находятся за роутером. У компьютера, сервера, NAS или камеры есть локальные IP-адреса вроде:

192.168.0.2
192.168.1.15
10.0.0.8

Но из интернета эти адреса напрямую не видны. Снаружи виден только внешний IP-адрес роутера. Поэтому, когда кто-то пытается подключиться к вашему серверу, роутер должен знать, на какое внутреннее устройство передать этот запрос.

В пробросе участвуют три главных параметра:

Внешний порт — порт, на который обращаются из интернета.
Внутренний IP-адрес — локальный адрес устройства, которое должно принять подключение.
Внутренний порт — порт, который слушает нужный сервис на сервере.

Например:

Внешний порт: 80
Внутренний IP: 192.168.0.42
Внутренний порт: 80
Протокол: TCP

Такое правило означает, что HTTP-запросы из интернета будут попадать на локальный веб-сервер.

Когда нужен проброс портов

Проброс портов нужен не всегда. Если вы просто пользуетесь интернетом, смотрите сайты, играете онлайн или работаете с облачными сервисами, обычно ничего настраивать не нужно.

Но проброс понадобится, если вы хотите, чтобы к устройству внутри вашей сети могли подключаться извне.

Чаще всего проброс портов используют для таких задач:

  • открыть сайт, размещённый на домашнем или офисном сервере;
  • подключаться к серверу по SSH;
  • настроить FTP или SFTP для передачи файлов;
  • дать доступ к панели управления;
  • открыть API или тестовый веб-сервис;
  • подключиться к NAS из другой сети;
  • настроить видеонаблюдение;
  • запустить игровой сервер;
  • организовать удалённое администрирование.

Если сервис должен быть доступен только внутри локальной сети, проброс не нужен. Если доступ должен приходить из интернета — без правила на роутере обычно не обойтись.

Какие порты бывают

Порт — это условная точка входа для сетевого сервиса. Разные службы используют разные номера портов. Например, HTTP обычно работает на 80, HTTPS — на 443, SSH — на 22.

Назначения портов ведутся в официальном реестре IANA. В нём указано, какие номера связаны с какими сервисами и протоколами. Реестр регулярно обновляется; по состоянию на 24 апреля 2026 года IANA указывает, что имена сервисов и номера портов используются для различения служб, работающих поверх TCP, UDP, SCTP и DCCP.

Ниже — основные порты, которые часто встречаются при хостинге, администрировании и настройке серверов.

ПортПротоколНазначениеКомментарий
20TCPFTP DataПередача данных в классическом FTP
21TCPFTP ControlУправляющее соединение FTP
22TCPSSHУдалённый доступ к серверу
23TCPTelnetУстаревший небезопасный протокол
25TCPSMTPОтправка электронной почты
53TCP/UDPDNSРабота с доменными именами
80TCPHTTPОбычный веб-трафик
110TCPPOP3Получение почты
143TCPIMAPРабота с почтой на сервере
443TCPHTTPSЗащищённый веб-трафик
3306TCPMySQLПодключение к базе данных MySQL
5432TCPPostgreSQLПодключение к PostgreSQL
8080TCPАльтернативный HTTPЧасто используется для API, панелей и тестовых сервисов

Открытие порта — это всегда осознанное действие. Не стоит пробрасывать всё подряд «на всякий случай». Чем меньше открытых входов, тем проще защитить сервер и быстрее найти проблему при сбое.

Как пробросить порт на роутере

Интерфейсы роутеров отличаются, но общий принцип почти всегда одинаковый. Нужно найти локальный IP сервера, зайти в настройки роутера, создать правило проброса и проверить, что сервис действительно отвечает.

Шаг 1. Найдите локальный IP-адрес устройства

Сначала нужно понять, на какое устройство роутер будет отправлять входящий трафик.

В Windows откройте командную строку и выполните:

ipconfig

В Linux можно использовать:

ip a

или:

hostname -I

В macOS адрес можно посмотреть в настройках сети или через терминал.

Ищите адрес вида:

192.168.0.42
192.168.1.20
10.0.0.15

Это внутренний IP-адрес устройства.

Шаг 2. Закрепите IP-адрес за сервером

Если сервер получает адрес автоматически, после перезагрузки роутера или устройства IP может измениться. Тогда правило проброса будет указывать уже не на тот компьютер.

Лучше закрепить адрес одним из способов:

настроить статический IP на самом сервере;
закрепить IP за MAC-адресом устройства в DHCP-настройках роутера.

Например, если сервер сейчас имеет адрес 192.168.0.42, можно сделать так, чтобы роутер всегда выдавал ему именно этот адрес.

Шаг 3. Войдите в панель управления роутером

Обычно панель роутера доступна по одному из адресов:

192.168.0.1
192.168.1.1
192.168.100.1

Точный адрес, логин и пароль часто указаны на наклейке роутера. Если пароль стандартный, после входа его лучше сразу заменить.

Шаг 4. Найдите раздел проброса портов

В разных моделях раздел может называться по-разному:

  • Проброс портов
  • Переадресация портов
  • Port Forwarding
  • NAT Forwarding
  • Virtual Server
  • NAT
  • Advanced Settings
  • Firewall / NAT

Чаще всего он находится в расширенных настройках сети или безопасности.

Шаг 5. Создайте новое правило

В правиле обычно нужно указать:

  • Название — любое понятное имя, например Web Server, SSH или FTP.
  • Внешний порт — порт, на который будут обращаться из интернета.
  • Внутренний IP — локальный адрес сервера.
  • Внутренний порт — порт, который слушает сервис на сервере.
  • Протокол — TCP, UDP или оба.

Пример для сайта:

  • Название: Web Server
  • Внешний порт: 80
  • Внутренний IP: 192.168.0.42
  • Внутренний порт: 80
  • Протокол: TCP

Пример для SSH:

  • Название: SSH
  • Внешний порт: 2222
  • Внутренний IP: 192.168.0.42
  • Внутренний порт: 22
  • Протокол: TCP

Во втором примере снаружи используется порт 2222, а внутри подключение уходит на стандартный SSH-порт 22. Такой подход не делает сервер полностью защищённым, но снижает количество случайных автоматических попыток подключения к стандартному порту.

Шаг 6. Сохраните настройки

После добавления правила сохраните изменения. Некоторые роутеры применяют их сразу, другие требуют перезагрузки.

После этого нужно проверить три вещи:

сервис на сервере запущен;
фаервол на сервере не блокирует подключение;
провайдер не мешает входящему соединению.

Пример проброса порта 80 для локального сайта

Допустим, у вас есть локальный сервер с адресом 192.168.0.42. На нём запущен веб-сервер, который слушает порт 80. Нужно сделать так, чтобы сайт открывался из интернета.

В настройках роутера создаём правило:

ПараметрЗначение
НазваниеHTTP Server
Внешний порт80
Внутренний IP192.168.0.42
Внутренний порт80
ПротоколTCP

После сохранения правило должно направлять входящие HTTP-запросы на локальный сервер.

Если сайт не открывается, это ещё не значит, что проброс настроен неправильно. Возможны другие причины: веб-сервер не запущен, фаервол блокирует порт, у провайдера серый IP, есть двойной NAT или порт закрыт со стороны оператора.

Пример проброса SSH с нестандартного внешнего порта

Для удалённого администрирования часто нужен SSH. Стандартный порт SSH — 22. Но если открыть его напрямую в интернет, сервер быстро начнут сканировать автоматические боты.

Более аккуратный вариант — использовать нестандартный внешний порт.

Например:

ПараметрЗначение
НазваниеSSH Remote
Внешний порт2222
Внутренний IP192.168.0.42
Внутренний порт22
ПротоколTCP

Тогда подключение будет выглядеть так:

ssh user@ваш-внешний-ip -p 2222

При этом на самом сервере SSH может продолжать работать на порту 22, а снаружи будет доступен через 2222.

Но важно понимать: смена порта — не полноценная защита. Для SSH лучше дополнительно использовать авторизацию по ключам, запрет входа root, фаервол и ограничение доступа по IP.

Почему проброс портов не работает

Проброс портов — простая настройка, но ошибок вокруг неё много. Если порт не открывается, проверьте несколько типовых причин.

Сервис не запущен

Порт будет считаться открытым только тогда, когда на сервере есть программа, которая его слушает. Если веб-сервер, SSH, FTP или база данных выключены, проверка покажет закрытый порт.

На Linux можно посмотреть слушающие порты командой:

ss -tulpn

Указан неправильный локальный IP

Если сервер получил новый адрес, правило проброса может вести на другое устройство. Проверьте текущий IP и закрепите его в настройках роутера.

Фаервол блокирует подключение

Проброс на роутере не отменяет правила фаервола на сервере. Microsoft в документации по Windows Firewall указывает, что входящее правило для порта позволяет программам, слушающим указанный TCP или UDP порт, принимать сетевой трафик.

На Windows нужно создать входящее правило для нужного порта.
На Linux нужно проверить ufw, firewalld, iptables или nftables.

Провайдер использует серый IP или CG-NAT

Если роутер не получает настоящий публичный IP, обычный проброс портов может не работать. Такое часто бывает у мобильных операторов и некоторых домашних провайдеров.

Проверьте внешний IP в панели роутера и сравните его с IP, который показывают сайты проверки. Если адреса отличаются, вероятно, вы находитесь за NAT провайдера.

Решения:

  • заказать белый IP у провайдера;
  • использовать DDNS, если IP белый, но динамический;
  • настроить VPN-туннель;
  • использовать VPS как промежуточный сервер;
  • применить reverse proxy или туннелирование.

Есть двойной NAT

Двойной NAT появляется, когда перед вашим роутером стоит ещё одно устройство: модем провайдера, второй маршрутизатор или отдельный терминал. В этом случае проброс нужно настраивать на обоих устройствах или переводить одно из них в режим моста.

Порт проверяется из той же сети

Некоторые роутеры не поддерживают NAT loopback. Из локальной сети внешний IP может не открываться, хотя с мобильного интернета всё работает. Проверяйте доступ с другой сети: например, через мобильный интернет.

Провайдер блокирует порт

Некоторые провайдеры блокируют входящие подключения на популярные порты. В таком случае можно попробовать нестандартный внешний порт. Например, направить внешний 8080 на внутренний 80.

Как проверить, открыт ли порт

Проверять проброс лучше из внешней сети. Не всегда корректно тестировать доступ с того же Wi-Fi, где находится сервер.

Способы проверки:

  • подключиться через мобильный интернет;
  • использовать удалённый VPS;
  • проверить порт онлайн-сервисом;
  • использовать nmap;
  • проверить подключение вручную клиентом.

Пример проверки через nmap:

nmap -p 80 ваш-домен.ru

Пример проверки через netcat:

nc -vz ваш-домен.ru 80

Если порт закрыт, проверьте:

  • работает ли сервис;
  • правильный ли внутренний IP;
  • разрешён ли порт в фаерволе;
  • есть ли белый IP;
  • нет ли двойного NAT;
  • не блокирует ли порт провайдер.

Безопасность при пробросе портов

Проброс портов создаёт вход в вашу локальную сеть. Это не опасно само по себе, но становится риском при слабых паролях, устаревших сервисах и лишних открытых правилах.

CISA в рекомендациях по домашней сетевой безопасности советует отключать UPnP, если в нём нет конкретной необходимости, а также обновлять прошивку роутера. Microsoft также рекомендует создавать исключения в фаерволе только для приложений и служб, которые действительно нужны, и документировать правила с указанием портов и назначения.

Открывайте только нужные порты

Если сервис не должен быть доступен из интернета, не пробрасывайте его. Не открывайте порты «на всякий случай».

Не выставляйте базы данных напрямую в интернет

MySQL, PostgreSQL и другие базы лучше не открывать наружу без крайней необходимости. Безопаснее использовать VPN, SSH-туннель или доступ только с конкретных IP-адресов.

Используйте фаервол

Правило на роутере должно работать вместе с фаерволом на сервере. Разрешайте только нужные подключения и блокируйте всё лишнее.

Ограничивайте доступ по IP

Если вы подключаетесь к панели управления только с одного рабочего адреса, разрешите доступ только с него. Многие роутеры позволяют указать удалённый хост или диапазон IP.

Отключите UPnP

UPnP позволяет приложениям автоматически открывать порты. Это удобно, но хуже для контроля. Если вы не понимаете, какие программы используют UPnP, лучше отключить эту функцию и создавать правила вручную.

Обновляйте роутер и сервер

Уязвимости в прошивке роутера, операционной системе и серверных приложениях — реальная угроза. Открытый порт на устаревшем сервисе быстро становится целью автоматических сканеров.

Используйте сильные пароли и ключи

Для SSH лучше использовать ключевую авторизацию. Для панелей управления — сложные уникальные пароли и, если возможно, двухфакторную аутентификацию.

Удаляйте временные правила

Если порт открывали для теста, диагностики или разовой настройки, удалите правило после завершения работы.

Проброс портов, DMZ и UPnP: в чём разница

Эти настройки часто путают, но они работают по-разному.

Проброс портов — открывает только конкретный порт или диапазон портов и направляет трафик на выбранное устройство.

DMZ — отправляет почти весь входящий трафик на одно устройство. Это удобно для диагностики, но опасно для постоянного использования.

UPnP — позволяет приложениям автоматически создавать правила проброса портов без ручной настройки.

Для обычной работы безопаснее использовать ручной проброс портов. DMZ стоит включать только временно и только если вы понимаете последствия. UPnP лучше отключить, если нет конкретной необходимости.

Чек-лист настройки проброса портов

Перед проверкой убедитесь, что всё сделано правильно:

  • Сервер включён.
  • Нужная служба запущена.
  • Устройство имеет постоянный локальный IP.
  • В роутере создано правило проброса.
  • Указан правильный внутренний IP.
  • Внешний и внутренний порты заданы верно.
  • Выбран правильный протокол TCP или UDP.
  • Фаервол на сервере разрешает подключение.
  • Проверка выполняется из внешней сети.
  • У провайдера есть белый IP или настроена альтернатива.
  • Нет двойного NAT или он настроен корректно.
  • Лишние порты закрыты.

Итог

Проброс портов — важная настройка для тех, кто самостоятельно хостит сайты, серверы, панели управления, файловые сервисы или другие приложения. Она позволяет направить входящий трафик из интернета на конкретное устройство внутри локальной сети.

Главное — не открывать всё подряд. Выберите только нужные порты, закрепите локальный IP сервера, настройте фаервол, проверьте работу службы и закройте временные правила после тестов. Тогда проброс портов будет не угрозой, а удобным и предсказуемым инструментом управления доступом.