- Defolt inkar siyasətinə üstünlük verin və SSH üçün ağ siyahılardan istifadə edin.
- NAT + ACL-ni birləşdirir: portu açır və mənbə IP ilə məhdudlaşdırır.
- Nmap/ping ilə yoxlayın və qayda prioritetinə (ID) hörmət edin.
- Yeniləmələr, SSH açarları və minimum xidmətlərlə gücləndirin.
¿TP-Link marşrutlaşdırıcısına SSH girişini etibarlı IP-lərə necə məhdudlaşdırmaq olar? Şəbəkənizə SSH vasitəsilə kimin daxil ola biləcəyinə nəzarət etmək şıltaqlıq deyil, bu, vacib təhlükəsizlik səviyyəsidir. Yalnız etibarlı IP ünvanlarından girişə icazə verin Hücum səthini azaldır, avtomatik taramaları ləngidir və İnternetdən daimi müdaxilə cəhdlərinin qarşısını alır.
Bu praktik və hərtərəfli bələdçidə siz bunu TP-Link avadanlığı (SMB və Omada) ilə müxtəlif ssenarilərdə necə edəcəyinizi, ACL qaydaları və ağ siyahılarla nələrə diqqət yetirməli olduğunuzu və hər şeyin düzgün bağlandığını necə yoxlamaq lazım olduğunu görəcəksiniz. Biz TCP Wrappers, iptables və ən yaxşı təcrübələr kimi əlavə metodları birləşdiririk beləliklə, heç bir boş uc qoymadan ətrafınızı qoruya bilərsiniz.
Niyə TP-Link marşrutlaşdırıcılarında SSH girişini məhdudlaşdırmalısınız?
SSH-ni internetdə ifşa etmək, zərərli niyyəti olan onsuz da maraqlı botlar tərəfindən kütləvi taramalara qapı açır. [SSH nümunələrində] müşahidə edildiyi kimi, skandan sonra WAN-da əlçatan olan port 22-nin aşkarlanması qeyri-adi deyil. TP-Link marşrutlaşdırıcılarında kritik uğursuzluqlar. Sadə bir nmap əmri ictimai IP ünvanınızın 22 portunun açıq olub olmadığını yoxlamaq üçün istifadə edilə bilər.: xarici maşında buna bənzər bir şeyi yerinə yetirir nmap -vvv -p 22 TU_IP_PUBLICA və "açıq ssh" göründüyünü yoxlayın.
Açıq açarlardan istifadə etsəniz belə, 22-ci portun açıq qalması əlavə kəşfiyyata, digər portları sınaqdan keçirməyə və idarəetmə xidmətlərinə hücum etməyə dəvət edir. Həll aydındır: defolt olaraq rədd edin və yalnız icazə verilən IP və ya diapazonlardan aktivləşdirin.Tercihen sizin tərəfinizdən düzəldilir və idarə olunur. Uzaqdan idarəetməyə ehtiyacınız yoxdursa, onu WAN-da tamamilə söndürün.
Portları ifşa etməklə yanaşı, qayda dəyişikliklərindən və ya anomal davranışdan şübhələndiyiniz hallar var (məsələn, bir müddət sonra gedən trafiki "düşdürməyə" başlayan kabel modemi). Ping, traceroute və ya baxışın modemdən keçmədiyini görsəniz, parametrləri, proqram təminatını yoxlayın və zavod parametrlərini bərpa etməyi düşünün. və istifadə etmədiyiniz hər şeyi bağlayın.
Mental model: defolt olaraq bloklayın və ağ siyahı yaradın
Qazanmanın fəlsəfəsi sadədir: defolt inkar siyasəti və açıq istisnalarTəkmil interfeysə malik bir çox TP-Link marşrutlaşdırıcılarında siz firewallda Drop tipli uzaqdan giriş siyasətini təyin edə və sonra idarəetmə xidmətləri üçün ağ siyahıda xüsusi ünvanlara icazə verə bilərsiniz.
"Uzaqdan Daxiletmə Siyasəti" və "Ağ siyahı qaydaları" seçimlərini daxil edən sistemlərdə (Şəbəkə - Firewall səhifələrində), Uzaqdan giriş siyasətində brendi buraxın Və ağ siyahıya SSH/Telnet/HTTP(S) kimi konfiqurasiyaya və ya xidmətlərə çata bilən CIDR formatında XXXX/XX ictimai IP-ləri əlavə edin. Sonradan çaşqınlığın qarşısını almaq üçün bu qeydlərə qısa təsvir daxil edilə bilər.
Mexanizmlər arasındakı fərqi başa düşmək çox vacibdir. Port yönləndirmə (NAT/DNAT) portları LAN maşınlarına yönləndirir"Filtrləmə qaydaları" WAN-dan LAN və ya şəbəkələrarası trafikə nəzarət edərkən, firewallun "Ağ siyahı qaydaları" marşrutlaşdırıcının idarəetmə sisteminə girişi tənzimləyir. Filtrləmə qaydaları cihazın özünə girişi maneə törətmir; bunun üçün siz ağ siyahılardan və ya marşrutlaşdırıcıya gələn trafiklə bağlı xüsusi qaydalardan istifadə edirsiniz.
Daxili xidmətlərə daxil olmaq üçün NAT-da port xəritəsi yaradılır və sonra həmin xəritəyə kənardan kimin çata biləcəyi məhdudlaşdırılır. Resept belədir: lazımi portu açın və sonra giriş nəzarəti ilə məhdudlaşdırın. bu, yalnız səlahiyyətli mənbələrin keçməsinə imkan verir və qalanları bloklayır.
TP-Link SMB-də etibarlı IP-lərdən SSH (ER6120/ER8411 və oxşar)
TL-ER6120 və ya ER8411 kimi SMB marşrutlaşdırıcılarında LAN xidmətinin reklamı (məsələn, daxili serverdə SSH) və onu mənbə IP ilə məhdudlaşdırmaq üçün adi nümunə iki fazalıdır. Əvvəlcə port Virtual Server (NAT) ilə açılır, sonra isə Access Control ilə süzülür. IP qruplarına və xidmət növlərinə əsaslanır.
Mərhələ 1 – Virtual Server: gedin Qabaqcıl → NAT → Virtual Server və müvafiq WAN interfeysi üçün giriş yaradır. Xarici port 22-ni konfiqurasiya edin və onu serverin daxili IP ünvanına yönəldin (məsələn, 192.168.0.2:22)Siyahıya əlavə etmək üçün qaydanı yadda saxlayın. İşiniz fərqli portdan istifadə edirsə (məsələn, SSH-ni 2222-yə dəyişmisiniz), dəyəri müvafiq olaraq tənzimləyin.
Mərhələ 2 – Xidmət növü: daxil edin Üstünlüklər → Xidmət növü, məsələn, SSH adlı yeni bir xidmət yaradın, seçin TCP və ya TCP/UDP və təyinat portu 22-ni təyin edin (mənbə port diapazonu 0-65535 ola bilər). Bu qat ACL-də porta təmiz istinad etməyə imkan verəcək.
Mərhələ 3 – İP Qrup: gedin Üstünlüklər → IP Qrupu → IP ünvanı və həm icazə verilən mənbə (məsələn, ictimai IP-niz və ya "Access_Client" adlı diapazon) və təyinat resursu (məsələn, serverin daxili IP-si ilə "SSH_Server") üçün qeydlər əlavə edin. Sonra hər bir ünvanı müvafiq IP Qrupu ilə əlaqələndirin eyni menyu daxilində.
Mərhələ 4 – Girişə nəzarət: daxil Firewall → Girişə Nəzarət İki qayda yaradın. 1) Allow Qaydası: Siyasətə icazə verin, yeni təyin edilmiş "SSH" xidməti, Mənbə = IP qrupu "Access_Client" və təyinat = "SSH_Server". Ona ID 1 verin. 2) Bloklama Qaydası: ilə bloklama siyasəti mənbə = IPGROUP_ANY və təyinat = “SSH_Server” (və ya müvafiq olaraq) ID 2 ilə. Bu yolla, yalnız etibarlı IP və ya diapazon NAT vasitəsilə SSH-yə keçəcək; qalanları bloklanacaq.
Qiymətləndirmə sırası çox vacibdir. Aşağı şəxsiyyət vəsiqələri üstünlük təşkil edirBuna görə də, İcazə ver qaydası Blok qaydasından əvvəl (aşağı ID) olmalıdır. Dəyişiklikləri tətbiq etdikdən sonra, icazə verilən IP ünvanından müəyyən edilmiş portda marşrutlaşdırıcının WAN IP ünvanına qoşula biləcəksiniz, lakin digər mənbələrdən bağlantılar bloklanacaq.
Model/firmware qeydləri: İnterfeys aparat və versiyalar arasında dəyişə bilər. TL-R600VPN müəyyən funksiyaları əhatə etmək üçün hardware v4 tələb edirVə müxtəlif sistemlərdə menyuların yeri dəyişdirilə bilər. Buna baxmayaraq, axın eynidir: xidmət növü → IP qrupları → İcazə Ver və Blokla ACL. unutma saxla və tətbiq et qaydaların qüvvəyə minməsi üçün.
Tövsiyə olunan doğrulama: Səlahiyyətli IP ünvanından cəhd edin ssh usuario@IP_WAN və girişi yoxlayın. Başqa bir IP ünvanından port əlçatmaz olmalıdır. (göndərməyən və ya rədd edilən əlaqə, ideal olaraq ipucu verməmək üçün banner olmadan).
Omada Nəzarətçisi ilə ACL: Siyahılar, Dövlətlər və Nümunə Ssenarilər
Omada Controller ilə TP-Link şlüzlərini idarə edirsinizsə, məntiq oxşardır, lakin daha çox vizual seçimlərlə. Qruplar yaradın (IP və ya portlar), şlüz ACL-lərini təyin edin və qaydaları təşkil edin minimuma icazə vermək və qalan hər şeyi inkar etmək.
Siyahılar və qruplar: in Parametrlər → Profillər → Qruplar Siz IP qrupları (alt şəbəkələr və ya hostlar, məsələn, 192.168.0.32/27 və ya 192.168.30.100/32) və həmçinin port qrupları (məsələn, HTTP 80 və DNS 53) yarada bilərsiniz. Bu qruplar mürəkkəb qaydaları sadələşdirir obyektlərin təkrar istifadəsi ilə.
Gateway ACL: açıq Konfiqurasiya → Şəbəkə Təhlükəsizliyi → ACL Nəyi qorumaq istədiyinizdən asılı olaraq LAN→WAN, LAN→LAN və ya WAN→LAN istiqaməti ilə qaydalar əlavə edin. Hər bir qayda üçün siyasət İcazə Ver və ya İnkar ola bilər. və sifariş faktiki nəticəni müəyyən edir. Onları aktivləşdirmək üçün "Enable" seçin. Bəzi versiyalar qaydaları hazırlanmış və əlil buraxmağa imkan verir.
Faydalı hallar (SSH-ə uyğunlaşdırıla bilən): yalnız xüsusi xidmətlərə icazə verin və qalanları bloklayın (məsələn, DNS və HTTP-yə icazə verin və sonra Hamısını rədd edin). İdarəetmə ağ siyahıları üçün Etibarlı IP-lərdən "Şlüz İdarəetmə Səhifəsinə" icazə verin və sonra digər şəbəkələrdən ümumi inkar. Əgər proqram təminatınızda belə seçim varsa. İki yönlüSiz avtomatik tərs qayda yarada bilərsiniz.
Bağlantı statusu: ACL-lər statuslu ola bilər. Ümumi növlər Yeni, Qurulmuş, Əlaqəli və Etibarsızdır"Yeni" ilk paketi idarə edir (məsələn, TCP-də SYN), "Qurulmuş" əvvəllər rast gəlinən iki istiqamətli trafiki idarə edir, "Əlaqədar" asılı əlaqələri (məsələn, FTP məlumat kanalları) və "Etibarsız" anormal trafiki idarə edir. Əgər əlavə detallara ehtiyacınız olmadıqda, standart parametrləri saxlamaq daha yaxşıdır.
VLAN və seqmentləşdirmə: Omada və SMB marşrutlaşdırıcılarını dəstəkləyir VLAN-lar arasında bir istiqamətli və iki istiqamətli ssenarilərSiz Marketinq → Tədqiqat və İnkişafı bloklaya bilərsiniz, lakin R&D → Marketinqə icazə verə bilərsiniz və ya hər iki istiqaməti bloklaya və hələ də müəyyən bir idarəçiyə icazə verə bilərsiniz. ACL-də LAN→LAN istiqaməti daxili alt şəbəkələr arasında trafikə nəzarət etmək üçün istifadə olunur.
Əlavə üsullar və gücləndiricilər: TCP Wrappers, iptables, MikroTik və klassik firewall
Routerin ACL-lərinə əlavə olaraq, xüsusilə SSH təyinatı marşrutlaşdırıcının arxasındakı Linux serveridirsə, tətbiq edilməli olan digər təbəqələr də var. TCP Wrappers hosts.allow və hosts.deny ilə IP ilə filtrləməyə imkan verir uyğun xidmətlərdə (bir çox ənənəvi konfiqurasiyalarda OpenSSH daxil olmaqla).
Nəzarət faylları: mövcud deyilsə, onları yaradın sudo touch /etc/hosts.{allow,deny}. Ən yaxşı təcrübə: hosts.deny-də hər şeyi inkar edin və hosts.allow-da buna açıq şəkildə icazə verir. Məsələn: in /etc/hosts.deny pon sshd: ALL və /etc/hosts.allow əlavə edin sshd: 203.0.113.10, 198.51.100.0/24Beləliklə, yalnız həmin IP-lər serverin SSH demonuna çata biləcək.
Xüsusi iptables: Routeriniz və ya serveriniz buna icazə verirsə, yalnız xüsusi mənbələrdən SSH qəbul edən qaydalar əlavə edin. Tipik bir qayda olardı: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT ardınca defolt DROP siyasəti və ya qalanını bloklayan qayda. nişanı olan marşrutlaşdırıcılarda Fərdi qaydalar Siz bu sətirləri vurub "Save & Apply" ilə tətbiq edə bilərsiniz.
MikroTik-də ən yaxşı təcrübələr (ümumi bələdçi kimi tətbiq olunur): mümkün olduqda standart portları dəyişdirin, Telnet-i deaktiv edin (yalnız SSH istifadə edin), güclü parollardan istifadə edin və ya daha yaxşısı, açar identifikasiyasıFirewalldan istifadə edərək IP ünvanı ilə girişi məhdudlaşdırın, cihaz bunu dəstəkləyirsə 2FA-nı aktivləşdirin və proqram təminatı/RouterOS-u yeni saxlayın. Ehtiyacınız yoxdursa, WAN girişini söndürünO, uğursuz cəhdləri izləyir və lazım gələrsə, kobud güc hücumlarını cilovlamaq üçün əlaqə sürəti limitlərini tətbiq edir.
TP-Link Classic Interface (Köhnə Firmware): LAN IP ünvanı (defolt 192.168.1.1) və admin/admin etimadnaməsini istifadə edərək panelə daxil olun, sonra keçin Təhlükəsizlik → FirewallIP filtrini aktivləşdirin və təyin olunmamış paketlərin istədiyiniz siyasətə əməl etməsini seçin. Sonra, in IP ünvanı filtri, "Yeni əlavə et" düyməsini basın və müəyyən edin hansı IP-lərin xidmət portundan istifadə edə və ya edə bilməyəcəyi WAN-da (SSH, 22/tcp üçün). Hər addımı yadda saxlayın. Bu, ümumi inkar tətbiq etməyə və yalnız etibarlı IP-lərə icazə vermək üçün istisnalar yaratmağa imkan verir.
Statik marşrutlarla xüsusi IP-ləri bloklayın
Bəzi hallarda, müəyyən xidmətlərlə (məsələn, axın) sabitliyi yaxşılaşdırmaq üçün xüsusi IP-lərə çıxışı bloklamaq faydalıdır. Bunu bir neçə TP-Link cihazında etməyin bir yolu statik marşrutlaşdırmadır., həmin təyinatlara çatmaqdan qaçan /32 marşrut yaratmaq və ya onları defolt marşrut tərəfindən istehlak edilməyəcək şəkildə istiqamətləndirmək (dəstək proqram təminatına görə dəyişir).
Son modellər: nişana keçin Qabaqcıl → Şəbəkə → Qabaqcıl marşrutlaşdırma → Statik marşrutlaşdırma və "+ Əlavə et" düyməsini basın. Blok ediləcək IP ünvanı ilə "Şəbəkə Təyinatı", "Alt Şəbəkə Maskası" 255.255.255.255, LAN şlüzünün (adətən 192.168.0.1) "Default Gateway" və "İnterfeys" LAN daxil edin. "Bu girişə icazə ver" seçin və yadda saxlayınNəzarət etmək istədiyiniz xidmətdən asılı olaraq hər bir hədəf IP ünvanı üçün təkrarlayın.
Köhnə proqram təminatı: gedin Qabaqcıl marşrutlaşdırma → Statik marşrutlaşdırma siyahısı, "Yeni əlavə et" düyməsini basın və eyni sahələri doldurun. Marşrut statusunu aktivləşdirin və yadda saxlayınHansı IP-lərin müalicə olunacağını öyrənmək üçün xidmətinizin dəstəyi ilə məsləhətləşin, çünki bunlar dəyişə bilər.
Doğrulama: Terminal və ya əmr sorğusunu açın və onunla sınaqdan keçirin ping 8.8.8.8 (və ya blokladığınız təyinat IP). "Vaxt aşımı" və ya "Təyinat hostu əlçatmaz" görsənizBloklama işləyir. Əks təqdirdə, bütün cədvəllərin qüvvəyə minməsi üçün addımları nəzərdən keçirin və marşrutlaşdırıcını yenidən başladın.
Doğrulama, sınaq və insidentlərin həlli
SSH ağ siyahınızın işlədiyini yoxlamaq üçün səlahiyyətli IP ünvanından istifadə etməyə çalışın. ssh usuario@IP_WAN -p 22 (və ya istifadə etdiyiniz port) və girişi təsdiqləyin. İcazəsiz IP ünvanından port xidmət təklif etməməlidir.. ABŞ nmap -p 22 IP_WAN isti vəziyyəti yoxlamaq üçün.
Bir şey lazım olduğu kimi cavab vermirsə, ACL prioritetini yoxlayın. Qaydalar ardıcıllıqla işlənir və ən aşağı ID-yə sahib olanlar qalib gəlir."İcazə Ver"dən yuxarı "Rəd" işarəsi ağ siyahını etibarsız edir. Həmçinin, "Xidmət Tipi"nin düzgün porta işarə etdiyini və "IP Qruplarınız"ın müvafiq diapazonları ehtiva etdiyini yoxlayın.
Şübhəli davranış halında (bir müddət sonra əlaqənin itirilməsi, öz-özünə dəyişən qaydalar, azalan LAN trafiki) nəzərə alın. firmware proqramını yeniləyinİstifadə etmədiyiniz xidmətləri deaktiv edin (uzaqdan veb/Telnet/SSH administrasiyası), etimadnamələri dəyişdirin, mümkün olduqda MAC klonlamasını yoxlayın və nəticədə, Zavod parametrlərinə bərpa edin və minimal parametrlər və ciddi ağ siyahı ilə yenidən konfiqurasiya edin.
Uyğunluq, modellər və mövcudluq qeydləri
Xüsusiyyətlərin mövcudluğu (statuslu ACL-lər, profillər, ağ siyahılar, portlarda PVID redaktəsi və s.) Bu, avadanlıq modelindən və versiyasından asılı ola bilərTL-R600VPN kimi bəzi cihazlarda müəyyən imkanlar yalnız 4-cü versiyadan etibarən mövcuddur. İstifadəçi interfeysləri də dəyişir, lakin əsas proses eynidir: standart olaraq bloklama, xidmətləri və qrupları müəyyənləşdirin, xüsusi IP-lərdən icazə verin və qalanlarını bloklayın.
TP-Link ekosistemində müəssisə şəbəkələrində iştirak edən çoxlu cihazlar var. Sənədlərdə göstərilən modellər daxildir T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS4, TL2- T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G05- T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL24208-, T3700G-28TQ, T1500G-8T, T1700X-28TQbaşqaları arasında. Bunu unutmayın Təklif bölgəyə görə dəyişir. və bəziləri ərazinizdə mövcud olmaya bilər.
Yeniliklərdən xəbərdar olmaq üçün məhsulunuzun dəstək səhifəsinə daxil olun, düzgün aparat versiyasını seçin və yoxlayın proqram təminatı qeydləri və texniki spesifikasiyalar ən son təkmilləşdirmələrlə. Bəzən yeniləmələr firewall, ACL və ya uzaqdan idarəetmə xüsusiyyətlərini genişləndirir və ya təkmilləşdirir.
Bağlayın SSH Xüsusi İP-lər istisna olmaqla, ACL-lərin düzgün təşkili və hər şeyi hansı mexanizmin idarə etdiyini başa düşmək sizi xoşagəlməz sürprizlərdən xilas edir. Defolt inkar siyasəti, dəqiq ağ siyahılar və müntəzəm yoxlama iləTP-Link marşrutlaşdırıcınız və onun arxasındakı xidmətlər sizə lazım olduqda idarəetmədən əl çəkmədən daha yaxşı qorunacaq.
Kiçik yaşlarından texnologiyaya həvəslidir. Mən sektorda aktual olmağı və hər şeydən əvvəl onunla ünsiyyət qurmağı sevirəm. Buna görə də mən uzun illərdir ki, texnologiya və video oyun saytlarında ünsiyyətə həsr olunmuşam. Siz məni Android, Windows, MacOS, iOS, Nintendo və ya ağlınıza gələn hər hansı digər əlaqəli mövzu haqqında yazarkən tapa bilərsiniz.