- Prioritza una política de denegar per defecte i utilitza llistes blanques per a SSH.
- Combina NAT+ACL: obre el port i limita per IP d'origen.
- Verifica amb nmap/ping i respecta la prioritat de regles (ID).
- Reforça amb actualitzacions, claus SSH i serveis mínims.
¿Com limitar laccés SSH a un router TP-Link a IPs de confiança? Controlar qui pot entrar per SSH a la teva xarxa no és caprici, és una capa imprescindible de seguretat. Permetre l'accés només des de les adreces IP de confiança redueix la superfície d'atac, frena els escanejats automàtics i evita intents d'intrusió constants des d'Internet.
En aquesta guia pràctica i extensa veuràs com fer-ho en diferents escenaris amb equips TP-Link (SMB i Omada), què cal tenir en compte amb regles ACL i llistes blanques, i com verificar que tot està ben tancat. Integrem mètodes addicionals com TCP Wrappers, iptables i bones pràctiques perquè puguis blindar el teu entorn sense deixar caps solts.
Per què limitar l'accés SSH a encaminadors TP-Link
Exposar SSH a Internet obre la porta a escombrats massius de bots ia curiosos amb males intencions. No és estrany detectar el port 22 accessible a la WAN després d'un escaneig, tal com s'ha observat a errors crítics en encaminadors TP-Link. Un simple nmap serveix per comprovar si la teva IP pública té el 22 obert: executa en una màquina externa alguna cosa com nmap -vvv -p 22 TU_IP_PUBLICA i revisa si apareix «open ssh».
Fins i tot si uses claus públiques, deixar el 22 en obert convida a més exploracions, a provar altres ports ia atacar serveis de gestió. La solució és clara: denega per defecte i habilita només des d'IPs o rangs permesos, preferiblement fixos i controlats per tu. Si no necessites gestió remota, desactiva-la del tot a la WAN.
A més d'exposar ports, hi ha situacions en què sospitar de canvis de regles o comportaments anòmals (per exemple, un cable mòdem que comença a «tombar» trànsit de sortida després d'un temps). Si notes que el ping, traceroute o la navegació no passen del mòdem, revisa configuració, firmware i considera restaurar valors de fàbrica i tancar tot el que no facis servir.
Model mental: bloquejar per defecte i crear llista blanca
La filosofia guanyadora és senzilla: política per defecte de denegar i excepcions explícites. A molts routers TP-Link amb interfície avançada pots establir al firewall una política d'entrada remota de tipus Drop, i després permetre adreces concretes en una llista blanca per als serveis de gestió.
En equips que inclouen opcions de Remote Input Policy i Whitelist rules (en pàgines de Network – Firewall), marca Drop a la política remota d'entrada i afegeix a la llista blanca les IP públiques amb format CIDR XXXX/XX que han de poder arribar a la configuració o serveis com SSH/Telnet/HTTP(S). Aquestes entrades poden portar una descripció breu perquè no t'emboliques més endavant.
És crucial entendre la diferència entre mecanismes. El port forwarding (NAT/DNAT) redirigeix ports cap a màquines LAN, mentre que les filtering rules controlen el trànsit WAN→LAN o entre xarxes, i les whitelist rules del tallafocs governen l'accés a la pròpia gestió del router. Les regles de filtratge no bloquegen l'accés al dispositiu; per això utilitza llista blanca o regles específiques sobre l'entrada cap al router.
Per accedir a serveis interns, es crea el mapatge de ports a NAT i després es limita qui pot assolir aquest mapatge des de fora. La recepta és: obrir el port necessari i tot seguit fitar-lo amb un control d'accés que deixi passar només els orígens autoritzats i bloquegi la resta.
SSH des d'IPs de confiança en TP-Link SMB (ER6120/ER8411 i similars)
A routers SMB com TL-ER6120 o ER8411, el patró habitual per publicar un servei de la LAN (p. ex. SSH en un servidor intern) i limitar-lo per IP d'origen és de dues fases. Primer s'obre el port amb Servidor Virtual (NAT) i després es filtra amb el Control d'Accés basat en grups IP i tipus de servei.
Fase 1 – Servidor Virtual: vés a Advanced → NAT → Virtual Server i crea una entrada per a la interfície WAN corresponent. Configura el port extern 22 i apunta a la IP interna del servidor (per exemple 192.168.0.2:22). Guarda perquè la regla quedi a la llista. Si el vostre cas utilitza un altre port (p. ex., heu canviat SSH a 2222), ajusta el valor en conseqüència.
Fase 2 – Tipus de servei: entra a Preferències → Tipus de servei, crea un nou servei anomenat, per exemple, SSH, selecciona TCP o TCP/UDP i defineix el port de destinació 22 (el rang de ports dorigen pot quedar 0–65535). Aquesta capa us permetrà referenciar el port de forma neta a l'ACL.
Fase 3 – Grup IP: vés a Preferències → Grup IP → Adreça IP i afegeix entrades tant per a l'origen permès (p. ex. la teva IP pública o un rang, anomenat «Access_Client») com per al recurs destinació (p. ex. «SSH_Server» amb la IP interna del servidor). Després associa cada adreça al seu corresponent grup IP dins del mateix menú.
Fase 4 - Control d'accés: a Firewall → Control d'accés crea dues regles. 1) Regla de Permetre: política Allow, servei «SSH» acabat de definir, origen = Grup IP Access_Client i destinació = SSH_Server. Posa-li ID 1. 2) Regla de Bloqueig: política Block amb origen = IPGROUP_ANY i destinació = «SSH_Server» (o com apliqui) amb ID 2. Així, només la IP o rang de confiança travessarà el NAT cap al teu SSH; la resta quedarà bloquejada.
Lordre davaluació és vital. Els ID més baixos tenen prioritat, per tant la regla Allow ha d'anar abans (ID menor) que la regla Block. Després d'aplicar els canvis, des de la IP permesa podràs connectar a l'IP WAN del router al port definit, i des d'altres orígens no s'hi arribarà.
Notes de model/firmware: la interfície pot variar entre el maquinari i les versions. TL-R600VPN requereix v4 de maquinari per cobrir certes funcions, i en equips diferents els menús poden estar reubicats. Tot i així, el flux és el mateix: tipus de servei → grups IP → ACL amb Allow i Block. No oblidis guardar i aplicar perquè les regles entrin en vigor.
Verificació recomanada: des de la IP autoritzada, intenta ssh usuario@IP_WAN i verifica'n l'accés. Des d'una altra IP, el port ha de quedar inaccessible (connexió que no arriba o rebutjada, idealment sense bàner per no donar pistes).
ACL amb Omada Controller: llistes, estats i escenaris d'exemple
Si gestiones gateways TP-Link amb Omada Controller, la lògica és semblant però amb més opcions visuals. Crea grups (IP o ports), defineix ACL de porta d'enllaç i ordena les regles per permetre el mínim necessari i denegar la resta.
Llistes i grups: a Configuració → Perfils → Grups pots crear grups d'IP (subxarxes o hosts, com ara 192.168.0.32/27 o 192.168.30.100/32) i també grups de ports (per exemple, HTTP 80 i DNS 53). Aquests grups simplifiquen regles complexes en reutilitzar objectes.
ACL de porta d'enllaç: a Configuració → Seguretat de xarxa → ACL afegeix regles amb adreça LAN→WAN, LAN→LAN o WAN→LAN segons el que vulguis protegir. La política de cada regla pot ser Allow o Deny i lordre determina el resultat efectiu. Marca "Habilitar" per activar-les. Algunes versions permeten deixar regles preparades i deshabilitades.
Casos útils (adaptables a SSH): permetre només serveis concrets i bloquejar la resta (per exemple, Allow DNS i HTTP i després Deny All). Per a llistes blanques de gestió, creeu Allow des d'IPs de confiança a la «Pàgina d'administració de porta d'enllaç» i després una Deny general des de les altres xarxes. Si el vostre firmware té opció bidireccional, pots generar la regla inversa de manera automàtica.
Estat de connexió: les ACL poden ser amb estat. Els tipus comuns són Nou, Establit, Relacionat i Invàlid. «Nou» casa el primer paquet (p. ex. SYN a TCP), «Establit» implica trànsit bidireccional ja vist, «Relacionat» cobreix connexions dependents (com a canal de dades FTP) i «Invàlid» atrapa trànsit anòmal. El més normal és mantenir la configuració per defecte llevat que necessitis granularitat extra.
VLAN i segmentació: Omada i routers SMB suporten escenaris unidireccionals i bidireccionals entre VLAN. Pots bloquejar Màrqueting→R+D però permetre R+D→Marketing, o bloquejar ambdós sentits i, tot i així, autoritzar un administrador concret. L'adreça LAN→LAN a l'ACL es fa servir per controlar trànsit entre subxarxes internes.
Mètodes i reforços addicionals: TCP Wrappers, iptables, MikroTik i firewall clàssic
A més de les ACL del router, hi ha altres capes que convé aplicar, especialment si la destinació SSH és un servidor Linux darrere del router. TCP Wrappers permet filtrar per IP amb hosts.allow i hosts.deny en serveis compatibles (inclòs OpenSSH en moltes configuracions tradicionals).
Fitxers de control: si no existeixen, crea'ls amb sudo touch /etc/hosts.{allow,deny}. Bona pràctica: denega tot a hosts.deny i explícitament permet a hosts.allow. Per exemple: a /etc/hosts.deny pon sshd: ALL i amb /etc/hosts.allow afegeix sshd: 203.0.113.10, 198.51.100.0/24. Així, només aquestes IPs podran arribar al dimoni SSH del servidor.
iptables a mida: si el teu router o servidor t'ho permet, afegeix regles que només acceptin SSH des d'orígens concrets. Una regla típica seria: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT seguida d'una política per defecte de DROP o una regla que bloquegi la resta. En routers amb pestanya de Normes personalitzades podràs injectar aquestes línies i aplicar amb Save & Apply.
Bones pràctiques a MikroTik (aplicables com a guia general): canvia ports per defecte si t'és viable, desactiva Telnet (usa només SSH), utilitza contrasenyes robustes o, millor, autenticació per clau, limita per IP des del firewall, activa 2FA si l'equip ho suporta, mantingues firmware/RouterOS al dia, deshabilita accés des de WAN si no ho necessites, monitoritza intents fallits i, si escau, aplica limitacions de taxa de connexió per frenar força bruta.
Interfície clàssica de TP-Link (firmware antics): entra al panell amb la IP LAN (per defecte 192.168.1.1) i credencials admin/admin, vés a Seguretat → Firewall, habilita el filtre IP i escull que els paquets no especificats segueixin la política desitjada. Després, a Filtratge de Adreces IP, prem «Afegeix nou» i defineix quins IPs poden o no poden fer servir el port de servei a la WAN (per a SSH, 22/tcp). Guarda cada pas. Amb això pots aplicar una denegació general i excepcions per permetre només IPs de confiança.
Bloquejar IPs molt concretes amb rutes estàtiques
En alguns casos és útil bloquejar sortides a IPs específiques per millorar estabilitat amb certs serveis (com ara streaming). Una forma de fer-ho en diversos TP-Link és mitjançant Enrutament estàtic, creant rutes /32 que evitin assolir aquestes destinacions o les dirigeixin de manera que no es consumeixin per la ruta per defecte (el suport varia per microprogramari).
Models recents: vés a la pestanya Avançada → Xarxa → Enrutament avançat → Enrutament estàtic i prem + Afegeix. Introduïu "Destinació de xarxa" amb la IP a bloquejar, "Màscara de subxarxa" 255.255.255.255, "Porta d'enllaç per defecte" la porta d'enllaç LAN (típicament 192.168.0.1) i "Interfície" LAN. Marca «Permet aquesta entrada» i desa. Repeteix per a cada IP objectiu segons el servei que vulguis controlar.
Firmwares antics: entra a Enrutament avançat → Llista d'encaminament estàtic, prem «Afegeix nou» i omple els mateixos camps. Activa l'estat de la ruta i desa. Consulta amb el suport del teu servei per saber quins IPs convé tractar, ja que poden canviar.
Comprovació: obre un terminal o símbol del sistema i prova amb ping 8.8.8.8 (o la IP de destinació que heu bloquejat). Si veieu Temps d'espera esgotat o Host de destinació inaccessible, el bloqueig està funcionant. Si no, revisa els passos i reinicia el router perquè apliquin totes les taules.
Verificació, testeig i resolució d'incidències
Per validar que la teva llista blanca SSH funciona, des d'una IP autoritzada intenta ssh usuario@IP_WAN -p 22 (o el port que utilitzes) i confirma l'accés. Des d'una IP no autoritzada, el port no ha d'oferir servei. EUA nmap -p 22 IP_WAN per comprovar l'estat calent.
Si alguna cosa no respon com cal, revisa la prioritat de les ACL. Les regles es processen seqüencialment i les de menor ID guanyen; una Deny per sobre del teu Allow invalida la llista blanca. Comprova també que el Tipus de servei apunta al port correcte i que els teus Grups IP contenen els rangs adequats.
Davant comportaments sospitosos (pèrdua de connectivitat després d'una estona, regles que canvien soles, trànsit LAN que cau), considera actualitzar el firmware, deshabilitar serveis que no utilitzis (administració remota web/Telnet/SSH), canviar credencials, revisar clonació MAC si s'aplica, i, en darrer terme, restaurar a fàbrica i reconfigurar amb mínims i llista blanca estricta.
Compatibilitat, models i notes de disponibilitat
La disponibilitat de funcions (ACL amb estat, perfils, llistes blanques, edició de PVID a ports, etc.) pot dependre del model i versió de maquinari. En alguns equips, com TL-R600VPN, certes capacitats només són presents a partir de la v4. Les interfícies dusuari també canvien, però el procés base és el mateix: bloquejar per defecte, definir serveis i grups, permetre des d'IPs concretes i bloquejar la resta.
A l'ecosistema TP-Link hi ha molts equips implicats en xarxes d'empresa. Models citats per la documentació inclouen T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3SG200 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428 T3700G-28TQ, T1500G-8T, T1700X-28TQ, entre altres. Tingues en compte que l'oferta varia per regió i potser alguns no estan disponibles a la teva zona.
Per estar al dia, visita la pàgina de suport del teu producte, tria la versió de maquinari correcta i consulta les notes de firmware i la fitxa tècnica amb les millores més recents. De vegades les actualitzacions amplien o polin funcions de tallafocs, ACL o gestió remota.
Tancar el SSH a pany i forrellat excepte per a IPs concretes, ordenar bé les ACL i entendre quin mecanisme controla cada cosa t'estalvia ensurts. Amb una política de denegar per defecte, llistes blanques precises i verificació regular, el teu router TP-Link i els serveis darrere seu quedaran molt més protegits sense renunciar a l'administració quan la necessites.
Apassionat de la tecnologia des de petitó. M'encanta estar a l'última al sector i sobretot, comunicar-ho. Per això em dedico a la comunicació en webs de tecnologia i videojocs des de ja fa molts anys. Podràs trobar-me escrivint sobre Android, Windows, MacOS, iOS, Nintendo o qualsevol altre tema relacionat que et passi pel cap.