Is port forwarding gevaarlijk?

Niet inherent, maar het is de meest risicovolle knop in een thuisrouter. De blootgestelde service moet worden gepatcht en geverifieerd. Het veilige patroon is: stuur één poort door voor een VPN (WireGuard of OpenVPN) en krijg toegang tot al het andere vanuit de tunnel in plaats van elke service bloot te leggen.

Waarom werkt port forwarding niet voor mij?

De meest voorkomende redenen: uw ISP gebruikt CGNAT (geen openbaar IP-adres om naar door te sturen), uw router heeft IPv6 maar u stuurt alleen IPv4 door, de service waarnaar u doorstuurt heeft een eigen firewall die de poort blokkeert, of de doorgestuurde regel noemt een vast intern IP-adres dat sindsdien via DHCP is gewijzigd. Controleer elk.

Is UPnP veilig om aan te laten staan?

Op een netwerk van alleen uw vertrouwde apparaten, in grote lijnen wel. Op elk netwerk met smarthome-apparaten of onbetrouwbare laptops: nee: UPnP geeft elk apparaat op het LAN de kracht om willekeurige gaten in uw firewall te slaan. De meeste thuisrouters worden ermee meegeleverd; overweeg om het uit te schakelen.

Kan een VPN port forwarding vervangen?

Voor inkomende toegang tot uw eigen netwerk: ja: voer een VPN-server op uw router uit en maak er van buitenaf verbinding mee. Voor inkomend verkeer van strangers (waarop een openbare gameserver of een website draait) nee: de clients van een VPN moeten van u zijn.

Heb ik port forwarding nodig om een VPN te gebruiken?

Om out te verbinden vanaf een VPN-client, nee. Voor host een VPN-server thuis, ja – de inkomende VPN-poort moet worden doorgestuurd. Veel VPN-providers bieden ook optionele port forwarding aan voor gebruiksscenario's zoals BitTorrent-seeding vanuit hun netwerk.

Port Forwarding uitgelegd: internet laten praten met een apparaat in uw netwerk

Port forwarding is wat u instelt als u een gameserver wilt hosten, thuis een persoonlijke website wilt runnen of onderweg op afstand naar uw bureaublad wilt gaan. Het is ook een van de meest veiligheidsgevoelige dingen die je met een thuisnetwerk kunt doen: als je het verkeerd doet, wordt de deur geopend naar het openbare internet. Het is de moeite waard om het te begrijpen voordat u de schakelaar omdraait.

De volledige artikeltekst vindt u hieronder in het Engels.

Port forwarding is een routerconfiguratie die zegt: "Wanneer een pakket op mijn openbare IP op deze poort arriveert, stuur het dan naar dit interne apparaat op deze interne poort." Het is de expliciete overschrijving van NAT's standaardgedrag 'geen ongevraagde inkomende berichten'. Zonder dit kan de rest van het internet niets binnen uw thuisnetwerk bereiken. Hiermee worden precies de services die u kiest bereikbaar.

Het mechanisme

Uw router bevat een tabel met doorstuurregels. Elke regel heet:

A openbare poort (de poort die iemand op internet bezoekt)
Een intern IP-adres (naar welk apparaat op uw LAN moet worden verzonden)
Een interne poort (vaak hetzelfde als de openbare poort, maar dit kan verschillen)
A protocol (TCP, UDP of beide)

Wanneer een passend pakket op de WAN-interface arriveert, herschrijft de router de bestemming en stuurt deze naar binnen. Antwoorden gaan terug via normaal NAT.

A gewerkt voorbeeld

Je wilt een Minecraft-server hosten. De server draait op uw gaming-pc op 192.168.1.50 en luistert op TCP/UDP-poort 25565. U configureert een port-forward-regel: openbaar TCP+UDP 25565 → 192.168.1.50:25565. Nu bereikt iedereen die verbinding maakt met your.public.ip:25565 de server.

Tom dit nuttig te maken, heb je ook een stabiel adres nodig. Openbare IP-adressen van consumenten-ISP's veranderen zo nu en dan, dus gebruik een dynamische DNS-service (DuckDNS, No-IP, Cloudflare DNS API) om een naam naar uw veranderende IP-adres te verwijzen, of vraag een statisch IP-adres aan bij uw ISP als deze deze aanbiedt.

UPnP en NAT-PMP

Handmatig port forwarden is vervelend voor incidenteel gebruik, dus twee protocollen laten een applicatie een forward aanvragen automatisch:

UPnP IGD (Universal Plug and Play, Internet Gateway Device-profiel) is de oudere en breder ondersteunde versie. De applicatie stuurt een XML-over-HTTP-verzoek naar een lokaal multicast-adres, de router antwoordt, de app vraagt om het openen van een poort, de router opent deze.
NAT-PMP en zijn opvolger PCP zijn eenvoudigere binaire protocollen die hetzelfde werk doen en intensief worden gebruikt door Apple-apparaten en moderne games consoles.

Beide protocollen zijn handig en een bron van constante beveiligingsincidenten. UPnP heeft geen authenticatie: elk apparaat op het LAN – inclusief een aangetaste IoT-lamp – kan willekeurige gaten door de firewall openen. Veel beveiligingshandleidingen adviseren om UPnP uit te schakelen en poorten handmatig door te sturen.

Iplicaties voor de beveiliging

Het doorsturen van een poort is het moment waarop uw firewall overgaat van 'standaard weigeren' naar 'dit ene ding toestaan'. De getoonde service moet zijn:

Patched. Open SSH op internet is prima; open SSH op een 5 jaar oude ongepatchte router is een botnet-wervingsadvertentie.
Authenticated. De service moet een wachtwoord vereisen, idealiter een sterke sleutel. Standaardgegevens zijn catastrofaal.
Monitored. Zelfs goede services zien constant scanverkeer. Dankzij logboeken kunt u zien wanneer normaal verkeer in iets anders verandert.

U moet elke doorgestuurde poort als een permanent doelwit van geautomatiseerde aanvallen beschouwen. De standaardpoort voor welke service u ook beschikbaar stelt, zal binnen enkele minuten na livegang scanverkeer zien.

Waarom CGNAT port forwarding verbreekt

Als uw ISP CGNAT gebruikt, heeft u geen openbaar IP-adres: het WAN-adres van uw router is zelf een privéadres dat wordt gedeeld met honderden andere klanten. Er is geen mogelijkheid om door te sturen naar . Port forwarding werkt simpelweg niet op CGNAT-verbindingen.

Oplossingen: vraag uw ISP om een echt openbaar IP-adres (sommige bieden dit aan tegen een extra vergoeding), gebruik IPv6 (waarvoor geen NAT nodig is) of gebruik een tunnelservice zoals Cloudflare Tunnel, Tailscale Funnel, ngrok of een VPS als jumphost.

Port forwarding versus VPN

For om op afstand toegang te krijgen tot uw eigen netwerk, is een VPN vrijwel altijd de betere keuze dan port forwarding. Voer WireGuard uit op de router (of op een speciaal apparaat), maak van buitenaf verbinding met uw thuisnetwerk en krijg toegang tot interne services alsof u thuis bent - zonder deze rechtstreeks aan internet bloot te stellen. De enkele poort die u doorstuurt (de VPN-poort) is één goed gecontroleerde service in plaats van meerdere willekeurige.

Veelgestelde vragen

Is port forwarding gevaarlijk?: Niet inherent, maar het is de meest risicovolle knop in een thuisrouter. De blootgestelde service moet worden gepatcht en geverifieerd. Het veilige patroon is: stuur één poort door voor een VPN (WireGuard of OpenVPN) en krijg toegang tot al het andere vanuit de tunnel in plaats van elke service bloot te leggen.
Waarom werkt port forwarding niet voor mij?: De meest voorkomende redenen: uw ISP gebruikt CGNAT (geen openbaar IP-adres om naar door te sturen), uw router heeft IPv6 maar u stuurt alleen IPv4 door, de service waarnaar u doorstuurt heeft een eigen firewall die de poort blokkeert, of de doorgestuurde regel noemt een vast intern IP-adres dat sindsdien via DHCP is gewijzigd. Controleer elk.
Is UPnP veilig om aan te laten staan?: Op een netwerk van alleen uw vertrouwde apparaten, in grote lijnen wel. Op elk netwerk met smarthome-apparaten of onbetrouwbare laptops: nee: UPnP geeft elk apparaat op het LAN de kracht om willekeurige gaten in uw firewall te slaan. De meeste thuisrouters worden ermee meegeleverd; overweeg om het uit te schakelen.
Kan een VPN port forwarding vervangen?: Voor inkomende toegang tot uw eigen netwerk: ja: voer een VPN-server op uw router uit en maak er van buitenaf verbinding mee. Voor inkomend verkeer van strangers (waarop een openbare gameserver of een website draait) nee: de clients van een VPN moeten van u zijn.
Heb ik port forwarding nodig om een VPN te gebruiken?: Om out te verbinden vanaf een VPN-client, nee. Voor host een VPN-server thuis, ja – de inkomende VPN-poort moet worden doorgestuurd. Veel VPN-providers bieden ook optionele port forwarding aan voor gebruiksscenario's zoals BitTorrent-seeding vanuit hun netwerk.