Comment transférer un port sur votre routeur
Résumé : Pour rediriger un port sur votre routeur, connectez-vous à votre routeur, recherchez la section Redirection de port, puis créez une règle s'appliquant à l'appareil que vous utilisez pour héberger. Vous devez également attribuer une adresse IP statique à l'ordinateur hôte.
Bien que les routeurs Wi-Fi modernes gèrent automatiquement la plupart des fonctions, certaines applications vous obligeront à transférer manuellement un port dans les paramètres de votre routeur. Heureusement, il est très simple de rediriger les ports sur un routeur si vous savez où chercher
Qu'est-ce que la redirection de port ?
La redirection de port (ou mappage de port) permet au trafic externe d'Internet de se connecter à un appareil, comme un ordinateur, sur un réseau privé.
Supposons que vous souhaitiez héberger un serveur Minecraft pour vos amis sur votre ordinateur. Lorsqu'ils essaient de se connecter, leur trafic doit être envoyé au bon ordinateur sur votre réseau et leur connexion doit être autorisée par votre routeur. Votre routeur utilise des règles de redirection de port pour trier à quel ordinateur doit être envoyé le trafic relatif au serveur Minecraft. Bien sûr, il ne s'agit pas seulement de serveurs de jeu - s'il s'agit de trafic Internet, des ports sont impliqués.
Regardons les détails de la façon dont cela se produit.
Comment votre routeur gère les requêtes et utilise les ports
Voici une carte d'un réseau domestique simple. L'icône de nuage représente le plus grand Internet et votre adresse IP (Internet Protocol) publique ou orientée vers l'avant. Cette adresse IP représente l'ensemble de votre foyer du monde extérieur - comme une adresse postale, en quelque sorte.
L'adresse rouge 192.1.168.1 est l'adresse du routeur au sein de votre réseau. Les adresses supplémentaires appartiennent toutes aux ordinateurs visibles au bas de l'image. Si votre adresse IP publique est comme une adresse postale, considérez les adresses IP internes comme des numéros d'appartement pour cette adresse postale.
Le diagramme soulève une question intéressante à laquelle vous n'aviez peut-être pas pensé auparavant. Comment toutes les informations provenant d'Internet parviennent-elles au bon appareil à l'intérieur du réseau ? Si vous visitez windows-office.net sur votre ordinateur portable, comment se retrouve-t-il sur votre ordinateur portable et non sur le bureau de votre fils si l'adresse IP publique est la même pour tous les appareils ?
C'est grâce à une merveilleuse magie de routage connue sous le nom de traduction d'adresses réseau (NAT). Cette fonction se produit au niveau du routeur où le NAT agit comme un agent de la circulation, dirigeant le flux du trafic réseau via le routeur afin qu'une seule adresse IP publique puisse être partagée entre tous les périphériques derrière le routeur. Grâce au NAT, tous les membres de votre foyer peuvent demander des sites Web et d'autres contenus Internet simultanément et tout sera transmis au bon appareil.
Alors, où les ports entrent-ils dans ce processus ? Les ports sont un vestige ancien mais utile des premiers jours de l'informatique en réseau. À l'époque où les ordinateurs ne pouvaient exécuter qu'une seule application à la fois, il suffisait de pointer un ordinateur vers un autre ordinateur du réseau pour les connecter car ils exécuteraient la même application. Une fois que les ordinateurs sont devenus sophistiqués pour exécuter plusieurs applications, les premiers informaticiens ont dû se débattre avec la question de s'assurer que les applications étaient connectées aux bonnes applications. Ainsi, les ports sont nés.
Certains ports ont des applications spécifiques qui sont des normes dans l'ensemble de l'industrie informatique. Lorsque vous récupérez une page Web, par exemple, elle utilise le port 80. Le logiciel de l'ordinateur récepteur sait que le port 80 est utilisé pour servir des documents http, il écoute donc et répond en conséquence. Si vous envoyez une requête http sur un port différent - disons, 143 - le serveur Web ne le reconnaîtra pas car il n'écoute pas là (bien que quelque chose d'autre puisse l'être, comme un serveur de messagerie IMAP qui utilise traditionnellement ce port).
Les autres ports n'ont pas d'utilisations pré-assignées et vous pouvez les utiliser pour tout ce que vous voulez. Pour éviter d'interférer avec d'autres applications conformes aux normes, il est préférable d'utiliser des nombres plus grands pour ces configurations alternatives. Plex Media Server utilise le port 32400, par exemple, et les serveurs Minecraft utilisent 25565 - les deux numéros qui entrent dans ce territoire de jeu équitable.
Chaque port peut être utilisé via TCP ou UDP. TCP, ou Transmission Control Protocol, est ce qui est le plus couramment utilisé. UDP, ou User Datagram Protocol, est moins utilisé dans les applications domestiques à une exception près : BitTorrent. Selon ce qui écoute, il s'attendra à ce que des demandes soient faites dans l'un ou l'autre de ces protocoles.
Pourquoi avez-vous besoin de transférer des ports
Alors, pourquoi auriez-vous exactement besoin de transférer des ports ? Alors que certaines applications tirent parti du NAT pour définir leurs propres ports et gérer toute la configuration pour vous, il existe encore de nombreuses applications qui ne le font pas, et vous devrez donner un coup de main à votre routeur lorsqu'il s'agit de connecter des services et des applications. .
Dans le diagramme ci-dessous, nous partons d'un principe simple. Vous êtes sur votre ordinateur portable quelque part dans le monde (avec une adresse IP de 987.76.54.123) et vous souhaitez vous connecter à votre réseau domestique pour accéder à certains fichiers. Si vous connectez simplement votre adresse IP personnelle (123.45.67.891) à l'outil que vous utilisez (un client FTP ou une application de bureau à distance, par exemple), et que cet outil ne tire pas parti des fonctionnalités de routeur avancées que nous venons de mentionner, Vous n'avez pas de chance. Il ne saura pas où envoyer votre demande et rien ne se passera.
Soit dit en passant, il s'agit d'une grande fonctionnalité de sécurité. Si quelqu'un se connecte à votre réseau domestique et qu'il n'est pas connecté à un port valide, vous voulez que la connexion soit rejetée. C'est l'élément pare-feu de votre routeur qui fait son travail : rejeter les requêtes indésirables. Si la personne qui frappe à votre porte virtuelle, c'est vous, alors le rejet n'est pas le bienvenu et nous devons faire quelques ajustements.
Pour résoudre ce problème, vous voulez dire à votre routeur hé: quand je vous accéderai avec ce programme, vous devrez l'envoyer à cet appareil sur ce port. Une fois ces instructions en place, votre routeur s'assurera que vous pouvez accéder au bon ordinateur et à la bonne application sur votre réseau domestique.
Ainsi, dans cet exemple, lorsque vous êtes en déplacement et que vous utilisez votre ordinateur portable, vous utilisez différents ports pour effectuer vos demandes. Lorsque vous accédez à l'adresse IP de votre réseau domestique en utilisant le port 22, votre routeur à la maison sait que cela doit aller à 192.168.1.100 à l'intérieur du réseau. Ensuite, le démon SSH de votre installation Linux répondra. En même temps, vous pouvez faire une demande sur le port 80, que votre routeur enverra au serveur Web que vous utilisez à 192.168.1.150. Ou, vous pouvez essayer de contrôler à distance l'ordinateur portable de votre sœur avec VNC, et votre routeur vous connectera à votre ordinateur portable au 192.168.1.200. De cette façon, vous pouvez facilement vous connecter à tous les appareils pour lesquels vous avez configuré une règle de transfert de port.
L'utilité de la redirection de port ne s'arrête pas là ! Vous pouvez même utiliser la redirection de port pour modifier les numéros de port des services existants pour plus de clarté et de commodité. Par exemple, disons que vous avez deux serveurs Web en cours d'exécution sur votre réseau domestique et que vous souhaitez que l'un soit facilement et clairement accessible (par exemple, c'est un serveur météo que vous voulez que les gens puissent trouver facilement) et l'autre serveur Web est pour un personnel projet.
Lorsque vous accédez à votre réseau domestique à partir du port public 80, vous pouvez dire à votre routeur de l'envoyer au port 80 sur le serveur météo à 192.168.1.150, où il écoutera au port 80. Mais, vous pouvez dire à votre routeur que lorsque vous y accédez via le port 10 000, il doit se rendre sur le port 80 de votre serveur personnel, 192.168.1.250. De cette façon, le deuxième ordinateur n'a pas besoin d'être reconfiguré pour utiliser un port différent, mais vous pouvez toujours gérer le trafic efficacement - et en même temps, en laissant le premier serveur Web lié au port 80, vous facilitez l'accès des personnes à votre projet de serveur météorologique susmentionné.
Maintenant que nous savons ce qu'est la redirection de port et pourquoi nous pourrions vouloir l'utiliser, examinons quelques petites considérations concernant la redirection de port avant de plonger dans sa configuration.
Considérations avant de configurer votre routeur
Il y a quelques points à garder à l'esprit avant de s'asseoir pour configurer votre routeur et les parcourir à l'avance est garanti pour réduire la frustration.
Définir une adresse IP statique pour vos appareils
Avant tout, toutes vos règles de transfert de port s'effondreront si vous les attribuez à des appareils avec des adresses IP dynamiques attribuées par le service DHCP de votre routeur. Nous approfondissons les détails de ce qu'est DHCP dans cet article sur les attributions d'adresses IP DHCP et statiques, mais nous vous donnerons le résumé rapide ici.
Votre routeur dispose d'un pool d'adresses qu'il réserve uniquement pour être distribuées aux appareils lorsqu'ils rejoignent et quittent le réseau. Pensez-y comme si vous receviez un numéro dans un restaurant à votre arrivée - votre ordinateur portable se joint, boum, il obtient l'adresse IP 192.168.1.98. Votre iPhone rejoint, boum, il obtient l'adresse 192.168.1.99. Si vous mettez ces appareils hors ligne pendant un certain temps ou si le routeur est redémarré, toute la loterie d'adresses IP se répète.
Dans des circonstances normales, c'est plus que correct. Votre iPhone ne se soucie pas de son adresse IP interne. Mais si vous avez créé une règle de transfert de port indiquant que votre serveur de jeu se trouve à une certaine adresse IP, puis que le routeur lui en attribue une nouvelle, cette règle ne fonctionnera pas et personne ne pourra se connecter à votre serveur de jeu. Pour éviter cela, vous devez attribuer une adresse IP statique à chaque périphérique réseau auquel vous attribuez une règle de transfert de port. La meilleure façon de le faire est de passer par votre routeur.
Connaissez votre adresse IP (et définissez une adresse DNS dynamique)
En plus d'utiliser des attributions d'adresses IP statiques pour les appareils concernés au sein de votre réseau, vous souhaitez également connaître votre adresse IP externe : vous pouvez la trouver en visitant whatismyip.com lorsque vous êtes sur votre réseau domestique. Bien qu'il soit possible que vous ayez la même adresse IP publique pendant des mois, voire plus d'un an, votre adresse IP publique peut changer (à moins que votre fournisseur de services Internet ne vous ait explicitement donné une adresse IP publique statique). En d'autres termes, vous ne pouvez pas compter sur la saisie de votre adresse IP numérique dans l'outil distant que vous utilisez (et vous ne pouvez pas compter sur la transmission de cette adresse IP à un ami).
Maintenant, bien que vous puissiez vous soucier de vérifier manuellement cette adresse IP chaque fois que vous quittez la maison et avez l'intention de travailler loin de chez vous (ou chaque fois que votre ami va se connecter à votre serveur Minecraft ou similaire), c'est un gros mal de tête. Au lieu de cela, nous vous recommandons fortement de configurer un service DNS dynamique qui vous permettra de lier votre adresse IP personnelle (changeante) à une adresse mémorable comme mysuperawesomeshomeserver.dynu.net.
Faites attention aux pare-feu locaux
Une fois que vous avez configuré la redirection de port au niveau du routeur, il est possible que vous deviez également modifier les règles de pare-feu sur votre ordinateur. Par exemple, nous avons reçu de nombreux e-mails au fil des ans de parents frustrés qui ont configuré la redirection de port pour que leurs enfants puissent jouer à Minecraft avec leurs amis. Dans presque tous les cas, le problème est que malgré la configuration correcte des règles de transfert de port sur le routeur, quelqu'un a ignoré la demande du pare-feu Windows demandant s'il était acceptable que la plate-forme Java (qui exécute Minecraft) puisse accéder à Internet.
Sachez que sur les ordinateurs exécutant un pare-feu local et/ou un logiciel antivirus incluant une protection par pare-feu, vous devrez probablement confirmer que la connexion que vous avez configurée est correcte.
Comment configurer la redirection de port sur votre routeur
Vous pouvez configurer la redirection de port sur votre routeur. Maintenant que vous connaissez les bases, c'est assez simple.
Même si nous aimerions fournir des instructions exactes pour le modèle précis de routeur que vous possédez, la réalité est que chaque fabricant de routeur a son propre logiciel, et l'apparence de ce logiciel peut même varier d'un modèle de routeur à l'autre.
En général, vous allez chercher quelque chose appelé - vous l'avez deviné - Port Forwarding. Vous devrez peut-être parcourir les différentes catégories pour le trouver, mais si votre routeur est bon, il devrait être là. La plupart des routeurs proposent également des applications, en plus des logiciels de bureau ou des interfaces dont ils disposent.
Première étape : recherchez les règles de redirection de port sur votre routeur
Plutôt que d'essayer de capturer toutes les variantes, nous en soulignerons quelques-unes pour vous donner une idée de ce à quoi ressemble le menu et vous encourageons à consulter le manuel ou les fichiers d'aide en ligne de votre routeur particulier pour trouver les détails.
À titre de comparaison, voici à quoi ressemble le menu de transfert de port pour la passerelle xFi dans l'application Xfinity :
Et voici à quoi ressemble le menu de transfert de port sur un D-Link DIR-890L exécutant le micrologiciel DD-WRT tiers populaire :
Comme vous pouvez le voir, la complexité entre les deux vues varie considérablement. De plus, l'emplacement est complètement différent au sein des menus. En tant que tel, il est plus utile si vous recherchez les instructions exactes pour votre appareil à l'aide du manuel ou d'une requête de recherche.
Une fois que vous avez localisé le menu, il est temps de configurer la règle réelle.
Deuxième étape : créer une règle de redirection de port
Après avoir tout appris sur la redirection de port, la configuration d'un DNS dynamique pour votre adresse IP personnelle et tous les autres travaux nécessaires, l'étape importante - la création de la règle actuelle - est à peu près une promenade dans le parc. Dans le menu de redirection de port de notre routeur, nous allons créer deux nouvelles règles de redirection de port : une pour le serveur de musique Subsonic et une pour un nouveau serveur Minecraft que nous venons de configurer.
Malgré les différences d'emplacement sur différents logiciels de routeur, l'entrée générale est la même. Presque universellement, vous nommerez la règle de transfert de port. Il est préférable de simplement nommer le serveur ou le service, puis de l'ajouter si nécessaire pour plus de clarté (par exemple, Webserver ou Webserver-Weather s'il y en a plusieurs). Vous souvenez-vous du protocole TCP/UDP dont nous avons parlé au début ? Vous devrez également spécifier TCP, UDP ou les deux. Certaines personnes sont très militantes pour savoir exactement quel protocole chaque application et service utilise et faire correspondre parfaitement les choses à des fins de sécurité. Nous serons les premiers à admettre que nous sommes paresseux à cet égard et nous choisissons presque toujours Les deux pour gagner du temps.
Certains micrologiciels de routeur, y compris le DD-WRT plus avancé que nous utilisons dans la capture d'écran ci-dessus, vous permettront de spécifier une valeur Source qui est la liste des adresses IP auxquelles vous limitez le transfert de port pour des raisons de sécurité. Vous pouvez utiliser cette fonctionnalité si vous le souhaitez, mais soyez prévenu qu'elle introduit une toute nouvelle série de maux de tête car elle suppose que les utilisateurs distants (y compris vous lorsque vous n'êtes pas chez vous et vos amis qui se connectent) ont des adresses IP statiques.
Ensuite, vous devrez installer le port externe. C'est le port qui sera ouvert sur le routeur et face à Internet. Vous pouvez utiliser n'importe quel numéro ici entre 1 et 65353, mais pratiquement la plupart des numéros inférieurs sont pris en charge par les services standard (comme les serveurs de messagerie et Web) et bon nombre des numéros supérieurs sont attribués à des applications assez courantes. Dans cet esprit, nous vous recommandons de choisir un nombre supérieur à 5 000 et, pour plus de sécurité, d'utiliser Ctrl+F pour rechercher cette longue liste de numéros de port TCP/UDP afin de vous assurer que vous ne sélectionnez pas un port en conflit avec un service existant que vous utilisez déjà.
Enfin, entrez l'adresse IP interne de l'appareil, le port que vous avez sur cet appareil et (le cas échéant) activez la règle. N'oubliez pas de sauvegarder les paramètres.
Troisième étape : testez votre règle de transfert de port
Le moyen le plus évident de vérifier si votre redirection de port a fonctionné est de vous connecter en utilisant la routine prévue pour le port (par exemple, demandez à votre ami de connecter son client Minecraft à votre serveur domestique), mais ce n'est pas toujours une solution immédiatement disponible si vous n'êtes pas absent. de la maison.
Heureusement, il existe un petit vérificateur de port pratique disponible en ligne sur YouGetSignal.com. Nous pouvons tester pour voir si la redirection de port de notre serveur Minecraft a pris simplement en demandant au testeur de port d'essayer de s'y connecter. Branchez votre adresse IP et le numéro de port et cliquez sur Vérifier.
Vous devriez recevoir un message, comme vu ci-dessus, comme Le port X est ouvert sur [Votre IP]. Si le port est signalé comme fermé, vérifiez à la fois les paramètres dans le menu de transfert de port de votre routeur et vos données IP et de port dans le testeur.
Transfert de port Xfinity avec une passerelle xFi
Malheureusement, vous ne pouvez plus tout faire au même endroit si vous avez une passerelle xFi. Xfinity a déplacé les règles de transfert de port vers l'application Xfinity, mais vous devez utiliser l'interface Web pour attribuer une adresse IP statique.
Connectez-vous à votre passerelle xFi en entrant l'adresse de la passerelle dans votre navigateur Web. En règle générale, l'adresse sera 10.0.0.1 ou 192.168.0.1, mais ce n'est pas garanti. Vous pouvez toujours trouver manuellement l'adresse IP de votre modem ou de votre routeur si l'une de ces deux adresses ne fonctionne pas.
Une fois connecté, accédez à Appareils connectés, recherchez votre serveur dans la liste, puis cliquez sur Modifier.
Cochez IP réservée, puis cliquez sur Enregistrer.
Sélectionnez l'appareil ou l'adresse IP locale pour laquelle vous souhaitez créer une règle, puis choisissez un port et sélectionnez TCP, UDP ou TCP/UDP. Appuyez ensuite sur Suivant pour finaliser la règle de redirection de port.
Applications courantes pour la redirection de port
Il existe autant d'applications de transfert de port qu'il existe de ports, mais la plupart du temps, vous l'utiliserez pour configurer un accès à distance, un serveur de jeu ou un serveur multimédia. De nombreuses personnes ont besoin de transférer un port pour un serveur Minecraft ou de configurer le transfert de port SSH. Voici un tableau de référence rapide pour certaines des applications les plus populaires dans ces catégories.
| Application | Ports | Protocol |
| Minecraft (Java) | 25565 | TCP/UDP |
| Minecraft (Bedrock) | 19132-19133 | TCP/UDP |
| Project Zomboid (PZ) | 16261-16262 | TCP/UDP |
| VNC | 5900 | TCP |
| SSH | 22 | TCP |
| Plex Media Server | 32400 | TCP |
It is important to note that SSH uses port 22, and that port is specifically reserved for that use. Other applications (like Minecraft) have staked out such a strong claim they have functionally reserved their ports, though there isn’t anything officially requiring it. You may occasionally find that you have multiple things trying to use the same port. Remember, there are literally tens of thousands of different ports freely available to use, so just pick another one and use that instead.
But before you go opening up all sorts of ports, hosting every single service you can imagine, take some time to review your security practices. Most are fairly simple to get started with, and they can save you a huge headache later.
Security Precautions for Port Forwarding
If you’re port forwarding, you obviously intend for something to be accessible from the Internet. Any time you open up a port you increase your “attack surface.” It is always best to take some preventative measures to mitigate your risk. This isn’t an exhaustive list of things you can do to protect yourself — for that we’d need to write multiple novels — but it is a place to start.
Don’t Run Servers As Admin or Root
It doesn’t matter if you’re hosting a server on Windows, Linux, or any other operating system. Do not use the administrator or root account to host things that are exposed to the Internet. The administrative or root accounts have few (if any) restrictions placed on them. They can perform any operation on your system.
If there is some problem with the service you’re running — like a misconfiguration, bug, or an exploit — administrative or root access dramatically increases the amount of damage that can be done by a malicious attacker. It may even allow someone to compromise other devices attached to your network.
If you use a regular account you’re much less vulnerable — any attacker that gains access to your system will probably also need some kind of privilege escalation exploit to really cause harm.
Disable Root Login Over SSH
If you’re hosting on Linux, you should completely disable root login over SSH. The root user has unlimited access to everything on the system, which makes it a tempting target for would-be evildoers.
Additionally, there is really nothing to be gained by using it, since sudo allows users to execute commands as if they were the root user. Sudo permissions can even be modified on a user-by-user basis, so if you wanted to create a more restricted sudo account to perform basic server administration you could.
You Can Change Your Ports, But Don’t Rely On It
You’ll sometimes encounter the suggestion that you shouldn’t use the default ports for anything you’re hosting. The idea behind this is simple: If someone is scanning IP blocks for specific open ports they want to target, changing the port might reduce the chances that someone will attempt to access your server.
For example, you could change the SSH port from 22 to something like 7281.
Is that effective? Only sorta — it’ll certainly reduce the number of automated hits you take from script kiddies (amateur would-be hackers that use prebuilt software or scripts), and there will subsequently be fewer things in your logs to review. However, it won’t do anything to deter a serious targeted attack by someone knowledgeable.
Security through obscurity isn’t a guarantee, and you should never rely on it to keep your system safe.
Install Fail2Ban on Linux Servers
Fail2Ban is software designed to help secure your server against brute-force attacks. Fail2Ban can be configured to automatically reject connection attempts from any IP address that has tried and failed to log in to your server a certain number of times. Attackers can’t attempt to guess passwords more than a few times without being banned.
Fail2Ban can be set up with more complex behaviors too, so it is well worth learning if you plan on hosting on Linux.
Use Security Keys For SSH Whenever Possible
You should always pick a strong password for your administrative or root account, and any other account that you’ll log in to remotely. Fail2Ban and any other security measures you might enact will try to stop brute-force attacks, but they could fail. Use the strongest password possible.
If you’re using SSH, consider using SSH keys instead of a password. SSH keys are an example of public key cryptography — keys are generated in pairs, one public, and one private. The public key is placed on the computer that you’ll be remotely connecting to. You keep the other member of the pair, the private key, on your computer. When you try to connect, your private key is checked against the key on the server to provide authorization.
Windows, Linux, and MacOS all support SSH keys, so there isn’t much reason not to use them. SSH keys are more secure, and — once setup — every bit as convenient as a password.
Only Allow Connections from Whitelisted Addresses
You can also improve your security by limiting the connections that are allowed to your server. There are two basic ways to do this: a whitelist and a blacklist. A blacklist prohibits connections from specific people or applications. For example, if you know a hacker was attacking your Minecraft server, you might add their IP to a blacklist so it is always rejected. Alternatively, you can use a whitelist, which works the opposite way. Whitelists only allow pre-approved connections, and they can often be restricted to only allow access to a specific application or a specific port.
On Linux, use Universal Firewall (UFW) or FirewallD to create an OS-level whitelist. You can use whichever you prefer, though Debian distros (like Ubuntu) typically come with UFW, and RHEL distros (like Fedora) typically come with FirewallD. On Windows, open Windows Firewall and go to the “Inbound Traffic” tab to create a whitelist.
Individual applications you might host also often come with built-in whitelist functionality, as well. For example, you can add an IP to a Minecraft Server’s whitelist by modifying whitelist.json in the main server directory. The process varies significantly between applications though, and you’ll need to check your application’s documentation for the details.
RELATED: The Best Linux Distributions for Beginners
Consider Separating Your Local Area Network With a VLANs
Your home local area network (LAN) is typically a bit of a free-for-all. There is much less security between devices on a LAN than between a device on the Internet and a device on the LAN. The general assumption is that devices attached to your LAN are trusted devices, and that they don’t pose much of a security risk.
If you’re hosting an internet-facing service, however, that is not a safe assumption. If there is a fault in the service you’re hosting, or your other security practices, it is possible that an attacker can compromise your server and through it gain access to other devices on your local area network. It is potentially a huge security breach.
One solution is a Virtual LAN, or VLAN. A VLAN is a separate virtual local area network that is isolated — through software — from the “real” LAN that all of your other devices are on. You can limit exactly what kind of traffic is allowed to pass between the VLAN containing your internet-facing server and the VLAN that all of your normal devices are on. This creates a pretty effective barrier between your server and your other devices should a malicious attacker compromise your server. Setting up a VLAN can be a bit complicated, and the details will vary depending on your hardware. Not all consumer routers support VLANs either, so if you don’t see it, it probably isn’t there.
If your router doesn’t support VLANs, you have a few options. You can buy a new router that does support them, or you can add a managed network switch. Managed network switches start at about $30, so they’re probably the least expensive way to set up a VLAN at home if your current hardware doesn’t support it.
It’s a wee bit of a hassle to set up port forwarding, but as long as you assign a static IP address to the target device and set up a dynamic DNS server for your home IP address, it’s a task you only need to visit once to enjoy hassle free access to your network in the future.
The Best Wi-Fi Routers of 2023 
