- Upřednostněte výchozí zásadu odepření a pro SSH používejte whitelisty.
- Kombinuje NAT + ACL: otevírá port a omezuje podle zdrojové IP adresy.
- Ověřte pomocí nmap/ping a respektujte prioritu pravidla (ID).
- Posílení pomocí aktualizací, SSH klíčů a minimálních služeb.
¿Jak omezit SSH přístup k routeru TP-Link na důvěryhodné IP adresy? Řízení toho, kdo má přístup k vaší síti přes SSH, není rozmar, ale základní vrstva zabezpečení. Povolit přístup pouze z důvěryhodných IP adres Snižuje plochu útoku, zpomaluje automatické skenování a zabraňuje neustálým pokusům o vniknutí z internetu.
V tomto praktickém a komplexním průvodci se dozvíte, jak to provést v různých scénářích se zařízeními TP-Link (SMB a Omada), co je třeba zvážit u pravidel ACL a whitelistů a jak ověřit, zda je vše správně uzavřeno. Integrujeme další metody, jako jsou TCP Wrappery, iptables a osvědčené postupy. takže si můžete zabezpečit své prostředí, aniž byste museli mít cokoli na paměti.
Proč omezovat přístup SSH na routerech TP-Link
Zpřístupnění SSH internetu otevírá dveře masivnímu útoku ze strany již tak zvědavých botů se zlými úmysly. Není neobvyklé, že se po skenování WAN zjistí přístupný port 22, jak bylo pozorováno v [příkladech SSH]. kritické poruchy routerů TP-Link. Jednoduchý příkaz nmap lze použít k ověření, zda má vaše veřejná IP adresa otevřený port 22.: spustí něco podobného na externím počítači nmap -vvv -p 22 TU_IP_PUBLICA a zkontrolujte, zda se zobrazí „otevřít ssh“.
I když používáte veřejné klíče, ponechání portu 22 otevřeného vybízí k dalšímu průzkumu, testování dalších portů a útokům na služby správy. Řešení je jasné: ve výchozím nastavení zakázat a povolit pouze z povolených IP adres nebo rozsahů.Nejlépe vámi opravené a řízené. Pokud nepotřebujete vzdálenou správu, úplně ji deaktivujte na WAN.
Kromě odhalování portů existují situace, kdy můžete mít podezření na změny pravidel nebo anomální chování (například kabelový modem, který po chvíli začne „zastavovat“ odchozí provoz). Pokud si všimnete, že příkazy ping, traceroute nebo prohlížení internetu se přes modem nedostanou, zkontrolujte nastavení, firmware a zvažte obnovení továrního nastavení. a zavřete vše, co nepoužíváte.
Mentální model: blokování ve výchozím nastavení a vytvoření bílé listiny
Vítězná filozofie je jednoduchá: výchozí politika zamítnutí a explicitní výjimkyNa mnoha routerech TP-Link s pokročilým rozhraním můžete v bráně firewall nastavit zásady pro vzdálený přístup typu Drop a poté povolit konkrétní adresy na seznamu povolených adres pro služby správy.
V systémech, které obsahují možnosti „Zásady vzdáleného vstupu“ a „Pravidla pro povolení přístupu na bílou listinu“ (na stránkách Síť – Firewall), Vynechání značky v zásadách pro vzdálený vstup A na bílý seznam přidejte veřejné IP adresy ve formátu CIDR XXXX/XX, které by měly být schopny dosáhnout konfigurace nebo služeb, jako je SSH/Telnet/HTTP(S). Tyto položky mohou obsahovat stručný popis, aby se předešlo pozdějšímu zmatku.
Je zásadní pochopit rozdíl mezi mechanismy. Přesměrování portů (NAT/DNAT) přesměruje porty na počítače v místní síti LANZatímco „Pravidla filtrování“ řídí provoz mezi sítěmi WAN a LAN nebo mezi sítěmi, „Pravidla bílé listiny“ firewallu řídí přístup k systému správy routeru. Pravidla filtrování neblokují přístup k samotnému zařízení; k tomu se používají bílé listiny nebo specifická pravidla týkající se příchozího provozu do routeru.
Pro přístup k interním službám se v NATu vytvoří mapování portů a poté se omezí, kdo se k tomuto mapování může dostat zvenčí. Recept zní: otevřít potřebný port a poté ho omezit pomocí řízení přístupu. který umožňuje průchod pouze autorizovaným zdrojům a blokuje zbytek.
SSH z důvěryhodných IP adres na TP-Link SMB (ER6120/ER8411 a podobné)
V SMB routerech, jako jsou TL-ER6120 nebo ER8411, je obvyklý vzorec pro inzerování LAN služby (např. SSH na interním serveru) a její omezení zdrojovou IP adresou dvoufázový. Nejprve je port otevřen pomocí virtuálního serveru (NAT) a poté je filtrován pomocí řízení přístupu. na základě skupin IP adres a typů služeb.
Fáze 1 – Virtuální server: přejděte na Pokročilé → NAT → Virtuální server a vytvoří položku pro odpovídající rozhraní WAN. Nakonfigurujte externí port 22 a nasměrujte ho na interní IP adresu serveru (například 192.168.0.2:22)Uložte pravidlo a přidejte ho do seznamu. Pokud váš případ používá jiný port (např. jste změnili SSH na 2222), upravte hodnotu odpovídajícím způsobem.
Fáze 2 – Typ služby: zadejte Předvolby → Typ služby, vytvořte novou službu s názvem například SSH, vyberte TCP nebo TCP/UDP a definujte cílový port 22 (rozsah zdrojového portu může být 0–65535). Tato vrstva vám umožní čistě odkazovat na port v ACL..
Fáze 3 – Skupina IP: přejděte na Předvolby → Skupina IP adres → IP adresa a přidejte položky pro povolený zdroj (např. vaši veřejnou IP adresu nebo rozsah s názvem „Access_Client“) i cílový zdroj (např. „SSH_Server“ s interní IP adresou serveru). Pak přiřaďte každou adresu k odpovídající IP skupině ve stejném menu.
Fáze 4 – Řízení přístupu: v Firewall → Řízení přístupu Vytvořte dvě pravidla. 1) Povolit pravidlo: Povolit zásadu, nově definovanou službu „SSH“, Zdroj = IP skupina „Access_Client“ a cíl = „SSH_Server“. Přiřaďte mu ID 1. 2) Pravidlo blokování: Zásady blokování s zdroj = IPGROUP_ANY a cíl = „SSH_Server“ (nebo dle potřeby) s ID 2. Tímto způsobem projde přes NAT k vašemu SSH pouze důvěryhodná IP adresa nebo rozsah; zbytek bude blokován.
Pořadí hodnocení je zásadní. Nižší ID mají přednostPravidlo Povolit proto musí předcházet (s nižším ID) pravidlu Blokovat. Po provedení změn se budete moci připojit k WAN IP adrese routeru na definovaném portu z povolené IP adresy, ale připojení z jiných zdrojů budou blokována.
Poznámky k modelu/firmwaru: Rozhraní se může lišit v závislosti na hardwaru a verzi. TL-R600VPN vyžaduje pro pokrytí určitých funkcí hardware v4A na různých systémech se nabídky mohou přemístit. Postup je však stejný: typ služby → skupiny IP adres → ACL s povolením a blokováním. Nezapomeňte uložit a použít aby pravidla vstoupila v platnost.
Doporučené ověření: Z autorizované IP adresy zkuste ssh usuario@IP_WAN a ověřit přístup. Z jiné IP adresy by se port měl stát nepřístupným. (spojení, které nedorazí nebo je odmítnuto, ideálně bez banneru, aby se zabránilo poskytování indicií).
ACL s Omada Controllerem: Seznamy, stavy a příklady scénářů
Pokud spravujete brány TP-Link pomocí Omada Controlleru, logika je podobná, ale s více vizuálními možnostmi. Vytvořte skupiny (IP nebo porty), definujte ACL brány a uspořádejte pravidla povolit jen to nejnutnější minimum a popřít všechno ostatní.
Seznamy a skupiny: v Nastavení → Profily → Skupiny Můžete vytvořit skupiny IP adres (podsítě nebo hostitele, například 192.168.0.32/27 nebo 192.168.30.100/32) a také skupiny portů (například HTTP 80 a DNS 53). Tyto skupiny zjednodušují složitá pravidla opětovným použitím objektů.
ACL brány: zapnuto Konfigurace → Zabezpečení sítě → ACL Přidejte pravidla se směrem LAN→WAN, LAN→LAN nebo WAN→LAN v závislosti na tom, co chcete chránit. Zásada pro každé pravidlo může být Povolit nebo Zakázat. a pořadí určuje skutečný výsledek. Zaškrtněte políčko „Povolit“ pro jejich aktivaci. Některé verze umožňují ponechat pravidla připravená i zakázaná.
Užitečné případy (přizpůsobitelné pro SSH): povolit pouze určité služby a blokovat zbytek (např. Povolit DNS a HTTP a poté Zakázat vše). Pro správu bílých seznamů vytvořte na stránce „Správa brány“ možnost Povolit z důvěryhodných IP adres. a poté obecné odmítnutí od ostatních sítí. Pokud váš firmware tuto možnost nabízí. ObousměrnýInverzní pravidlo můžete vygenerovat automaticky.
Stav připojení: Seznamy ACL mohou být stavové. Běžné typy jsou Nové, Zavedené, Související a Neplatné„Nový“ zpracovává první paket (např. SYN v TCP), „Ustanovený“ zpracovává dříve zaznamenaný obousměrný provoz, „Související“ zpracovává závislá připojení (například datové kanály FTP) a „Neplatný“ zpracovává anomální provoz. Obecně je nejlepší ponechat výchozí nastavení, pokud nepotřebujete větší granularitu.
VLAN a segmentace: Podpora routerů Omada a SMB jednosměrné a obousměrné scénáře mezi VLANMůžete blokovat Marketing→Výzkum a vývoj, ale povolit Výzkum a vývoj→Marketing, nebo blokovat oba směry a stále autorizovat konkrétního správce. Směr LAN→LAN v ACL se používá k řízení provozu mezi interními podsítěmi.
Další metody a posílení: TCP Wrappers, iptables, MikroTik a klasický firewall
Kromě ACL routeru existují i další vrstvy, které by měly být použity, zejména pokud je cílem SSH linuxový server za routerem. TCP Wrappers umožňuje filtrování podle IP adresy pomocí hosts.allow a hosts.deny na kompatibilních službách (včetně OpenSSH v mnoha tradičních konfiguracích).
Řídicí soubory: pokud neexistují, vytvořte je pomocí sudo touch /etc/hosts.{allow,deny}. Nejlepší postup: zakázat vše v hosts.deny a explicitně to povoluje v souboru hosts.allow. Například: v /etc/hosts.deny Pon sshd: ALL a /etc/hosts.allow přidat sshd: 203.0.113.10, 198.51.100.0/24Pouze tyto IP adresy se tedy budou moci připojit k SSH démonu serveru.
Vlastní iptables: Pokud to váš router nebo server umožňuje, přidejte pravidla, která akceptují SSH pouze z konkrétních zdrojů. Typické pravidlo by bylo: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT následovaná výchozí politikou DROP nebo pravidlem, které blokuje zbytek. Na routerech s kartou Vlastní pravidla Tyto řádky můžete vložit a použít pomocí funkce „Uložit a použít“.
Nejlepší postupy v MikroTiku (platí jako obecný návod): pokud je to proveditelné, změňte výchozí porty, deaktivovat Telnet (používejte pouze SSH), používejte silná hesla nebo ještě lépe, ověřování klíčeOmezte přístup podle IP adresy pomocí firewallu, povolte 2FA, pokud ji zařízení podporuje, a udržujte firmware/RouterOS aktuální. Zakažte přístup k WAN, pokud ho nepotřebujeteMonitoruje neúspěšné pokusy a v případě potřeby aplikuje limity rychlosti připojení k omezení útoků hrubou silou.
Klasické rozhraní TP-Link (starší firmware): Přihlaste se k ústředně pomocí IP adresy LAN (výchozí 192.168.1.1) a přihlašovacích údajů správce/admin a poté přejděte na Zabezpečení → FirewallPovolte filtr IP adres a zvolte, zda se pro nespecifikované pakety mají řídit požadovanou politikou. Poté v Filtrování IP adres, stiskněte „Přidat nový“ a definujte které IP adresy mohou nebo nemohou používat servisní port na WAN (pro SSH, 22/tcp). Uložte si každý krok. To vám umožní použít obecné zamítnutí a vytvořit výjimky, které povolí pouze důvěryhodné IP adresy.
Blokovat konkrétní IP adresy pomocí statických tras
V některých případech je užitečné blokovat odchozí poštu na konkrétní IP adresy, aby se zlepšila stabilita určitých služeb (například streamování). Jedním ze způsobů, jak toho dosáhnout na více zařízeních TP-Link, je statické směrování., vytváření tras /32, které se těmto cílům vyhnou nebo je směrují tak, aby nebyly spotřebovány výchozí trasou (podpora se liší v závislosti na firmwaru).
Nedávné modely: přejděte na kartu Pokročilé → Síť → Pokročilé směrování → Statické směrování a stiskněte „+ Přidat“. Zadejte „Cíl sítě“ s IP adresou, kterou chcete blokovat, „Masku podsítě“ 255.255.255.255, „Výchozí brána“ bránu LAN (obvykle 192.168.0.1) a „Rozhraní“ LAN. Vyberte „Povolit tento záznam“ a uložte.Opakujte pro každou cílovou IP adresu v závislosti na službě, kterou chcete ovládat.
Starší firmware: přejděte na Pokročilé směrování → Statický seznam směrování, stiskněte „Přidat nový“ a vyplňte stejná pole. Aktivace stavu trasy a uloženíObraťte se na podporu vaší služby, abyste zjistili, které IP adresy máte ošetřit, protože se mohou měnit.
Ověření: Otevřete terminál nebo příkazový řádek a otestujte pomocí ping 8.8.8.8 (nebo cílovou IP adresu, kterou jste zablokovali). Pokud se zobrazí zpráva „Časový limit“ nebo „Cílový hostitel není dostupný“Blokování funguje. Pokud ne, zkontrolujte kroky a restartujte router, aby se všechny tabulky projevily.
Ověřování, testování a řešení incidentů
Chcete-li ověřit, zda váš seznam povolených adres SSH funguje, zkuste použít autorizovanou IP adresu. ssh usuario@IP_WAN -p 22 (nebo port, který používáte) a potvrďte přístup. Z neoprávněné IP adresy by port neměl nabízet službu.. USA nmap -p 22 IP_WAN pro kontrolu horkého stavu.
Pokud něco nereaguje tak, jak by mělo, zkontrolujte prioritu ACL. Pravidla jsou zpracovávána postupně a vyhrávají ta s nejnižším ID.Hodnota Zamítnout nad hodnotou Povolit zneplatní platnost bílé listiny. Zkontrolujte také, zda „Typ služby“ ukazuje na správný port a zda vaše „Skupiny IP adres“ obsahují správné rozsahy.
V případě podezřelého chování (ztráta připojení po určité době, pravidla, která se sama mění, výpadek provozu v síti LAN) zvažte aktualizujte firmwareZakažte služby, které nepoužíváte (vzdálená správa přes web/Telnet/SSH), změňte přihlašovací údaje, v případě potřeby zkontrolujte klonování MAC adres a nakonec Obnovení továrního nastavení a překonfigurování s minimálním nastavením a striktním seznamem povolených položek.
Kompatibilita, modely a poznámky k dostupnosti
Dostupnost funkcí (stavové ACL, profily, whitelisty, úprava PVID na portech atd.) Může to záviset na modelu a verzi hardwaruV některých zařízeních, jako například TL-R600VPN, jsou určité funkce dostupné až od verze 4. Uživatelské rozhraní se také mění, ale základní postup je stejný: blokování ve výchozím nastavení, definovat služby a skupiny, povolit z konkrétních IP adres a blokovat zbytek.
V ekosystému TP-Link je v podnikových sítích zapojeno mnoho zařízení. Mezi modely uvedené v dokumentaci patří T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-104TS, TL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216-T500-8GTL, T3200G T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQmimo jiné. Mějte na paměti, že Nabídka se liší podle regionu. a některé nemusí být ve vaší oblasti dostupné.
Chcete-li zůstat v obraze, navštivte stránku podpory vašeho produktu, vyberte správnou verzi hardwaru a zkontrolujte poznámky k firmwaru a technické specifikace s nejnovějšími vylepšeními. Aktualizace někdy rozšiřují nebo vylepšují funkce firewallu, ACL nebo vzdálené správy.
Zavřete SSH U všech IP adres kromě konkrétních vám správná organizace ACL a pochopení mechanismu, který každou věc řídí, zabrání nepříjemným překvapením. S výchozí politikou odmítnutí, přesnými seznamy povolených adres a pravidelným ověřovánímVáš router TP-Link a služby za ním budou mnohem lépe chráněny, aniž byste se museli vzdát správy, když ji budete potřebovat.
Již od mala byl nadšený pro techniku. Miluji být aktuální v oboru a především o něm komunikovat. Proto se už řadu let věnuji komunikaci na technologických a videoherních webech. Najdete mě, jak píšu o Androidu, Windows, MacOS, iOS, Nintendo nebo o jakémkoli jiném souvisejícím tématu, které vás napadne.