UPnP

Плагин os-upnp представляет собой реализацию UPnP IGD протокола.

UPnP (Universal Plug and Play) - это набор сетевых протоколов, которые позволяют сетевым устройствам, таким как персональные компьютеры, принтеры, интернет-шлюзы, точки доступа Wi-Fi и мобильные устройства, беспрепятственно обнаруживать друг друга в сети и устанавливать сетевые соединения для обмена данными.

NAT-PMP - одна из реализаций протокола UPnP, разработанная Apple.

Плагин os-upnp поддерживает обе реализации данного протокола. Также обратите внимание, что использование данного протокола не рекомендуется для использования в корпоративной среде так как несет в себе риски безопасности связанные с динамическим созданием правил NAT для конечных узлов сети, использующих данный протокол.

Установка плагина.

Перейдите в раздел Система -> Прошивка -> Плагины.

На вкладке Плагины нажмите на кнопку + напротив плагина os-upnp для его установки.

Настройка плагина.

Перейдите в раздел Службы -> Universal Plug and Play.-> Настройки

Выполните следующие настройки:

_images/upnp_settings.png

Включен - Включить плагин

Разрешить преобразование портов UPnP - Разрешить преобразование портов для протокола UPnP

Разрешить преобразование портов NAT-PMP - Разрешить преобразование портов для протокола NAT-PMP

Внешний интерфейс - Интерфейс внешней сети с которого будет выполняться проброс (NAT) входящих соединений на устройство, использующее UPnP во внутренней сети.

Интерфейсы (обычно LAN) - Внутренний интерфейс на котором принимаются запросы от устройств, использующих UPnP, на открытие и проброс соединений из внешней сети.

Переопределить WAN-адрес - IP адрес внешнего интерфейса, если интерфейс использует несколько IP адресов и необходимо обрабатывать подключения только на одном из них.

Журналирование пакетов NAT-PMP - Запись входящих подключений в лог файрвола.

Запрет доступа по умолчанию - Запретить обработку запросов UPnP по умолчанию - В пользовательских разрешениях можно сделать разрешения для определенных хостов. (таким образом можно повысить безопасность)

Пользовательские разрешения - С помощью данных правил можно разрешить либо запретить обработку запросов UPnP для одиночного хоста, подсети, диапазона портов.

Есть возможность задать до четырех таких правил.

Формат правила следующий:

[allow | deny] [ext port|ext port range] [ipaddr | ipaddr/cdir] [int port | int or range]

пример:

deny 0-65535 192.168.1.100 0-65535 - запретит использование UPnP для хоста 192.168.1.100

allow 20467 192.168.1.13 20467 - разрешит использовать UPnP хосту 192.168.1.13 для порта 20467 (используя подобные правила возможно создать исключения при общем запрете на использование протокола UPnP установкой параметра Запрет доступа по умолчанию)

Также не забудьте внести разрешающие правила в файрволе

Просмотр и управление подключениями.

Перейдите в раздел Службы -> Universal Plug and Play.-> Статус

На данной закладке вы увидите все активные сессии, созданные устройствами UPnP в вашей сети.

При желании вы можете закрыть все активные сессии, нажав на кнопку Очистить.