- Prioritér en standardpolitik for afvisning, og brug hvidlister til SSH.
- Kombinerer NAT + ACL: åbner porten og begrænser efter kilde-IP.
- Bekræft med nmap/ping og respekter regelprioriteten (ID).
- Styrk med opdateringer, SSH-nøgler og minimumstjenester.
¿Hvordan begrænser man SSH-adgang til en TP-Link-router til betroede IP-adresser? At kontrollere, hvem der kan få adgang til dit netværk via SSH, er ikke en lune, det er et essentielt sikkerhedslag. Tillad kun adgang fra betroede IP-adresser Det reducerer angrebsfladen, forsinker automatiske scanninger og forhindrer konstante indtrængningsforsøg fra internettet.
I denne praktiske og omfattende guide vil du se, hvordan du gør det i forskellige scenarier med TP-Link-udstyr (SMB og Omada), hvad du skal overveje med ACL-regler og hvidlister, og hvordan du verificerer, at alt er korrekt lukket. Vi integrerer yderligere metoder såsom TCP Wrappers, iptables og bedste praksis så du kan sikre dit miljø uden at efterlade løse ender.
Hvorfor begrænse SSH-adgang på TP-Link routere
At eksponere SSH for internettet åbner døren for massive ransagninger af allerede nysgerrige bots med ondsindede hensigter. Det er ikke ualmindeligt at registrere port 22, der er tilgængelig på WAN'et, efter en scanning, som det er blevet observeret i [eksempler på SSH]. kritiske fejl i TP-Link routere. En simpel nmap-kommando kan bruges til at kontrollere, om din offentlige IP-adresse har port 22 åben.udfører noget lignende på en ekstern maskine nmap -vvv -p 22 TU_IP_PUBLICA og tjek om "åbn ssh" vises.
Selv hvis du bruger offentlige nøgler, inviterer det til yderligere udforskning, test af andre porte og angreb på administrationstjenester at lade port 22 være åben. Løsningen er klar: afvis som standard og aktiver kun fra tilladte IP-adresser eller intervaller.Helst fast og kontrolleret af dig. Hvis du ikke har brug for fjernadministration, skal du deaktivere det helt på WAN'et.
Ud over at eksponere porte er der situationer, hvor du kan have mistanke om regelændringer eller unormal adfærd (for eksempel et kabelmodem, der begynder at "droppe" udgående trafik efter et stykke tid). Hvis du bemærker, at ping, traceroute eller browsing ikke kommer forbi modemet, skal du kontrollere indstillingerne og firmwaren og overveje at gendanne fabriksindstillingerne. og luk alt, hvad du ikke bruger.
Mental model: bloker som standard og opret en hvidliste
Vinderfilosofien er enkel: standardpolitik for afvisning og eksplicitte undtagelserPå mange TP-Link-routere med en avanceret brugerflade kan du indstille en Drop-type politik for fjernindtrængning i firewallen og derefter tillade specifikke adresser på en hvidliste til administrationstjenester.
På systemer, der inkluderer mulighederne "Politik for fjerninput" og "Hvidlisteregler" (på siderne Netværk - Firewall), Drop brand i politikken for fjernadgang Og tilføj til hvidlisten de offentlige IP-adresser i CIDR-format XXXX/XX, der skal kunne nå konfigurationen eller tjenester som SSH/Telnet/HTTP(S). Disse poster kan indeholde en kort beskrivelse for at undgå forvirring senere.
Det er afgørende at forstå forskellen mellem mekanismerne. Portvideresendelse (NAT/DNAT) omdirigerer porte til LAN-maskinerMens "Filtreringsregler" styrer WAN-til-LAN eller internettrafik, styrer firewallens "Hvidlisteregler" adgangen til routerens styringssystem. Filtreringsregler blokerer ikke adgang til selve enheden; til det bruger du hvidlister eller specifikke regler vedrørende indgående trafik til routeren.
For at få adgang til interne tjenester oprettes portmapping i NAT, og derefter er det begrænset, hvem der kan tilgå denne mapping udefra. Opskriften er: åbn den nødvendige port og begræns den derefter med adgangskontrol. der kun tillader autoriserede kilder at passere igennem og blokerer resten.
SSH fra betroede IP-adresser på TP-Link SMB (ER6120/ER8411 og lignende)
I SMB-routere som TL-ER6120 eller ER8411 er det sædvanlige mønster for annoncering af en LAN-tjeneste (f.eks. SSH på en intern server) og begrænsning af den med kilde-IP tofaset. Først åbnes porten med en virtuel server (NAT), og derefter filtreres den med adgangskontrol. baseret på IP-grupper og tjenestetyper.
Fase 1 – Virtuel server: gå til Avanceret → NAT → Virtuel server og opretter en post til den tilsvarende WAN-grænseflade. Konfigurer ekstern port 22 og peg den til serverens interne IP-adresse (f.eks. 192.168.0.2:22)Gem reglen for at tilføje den til listen. Hvis din sag bruger en anden port (f.eks. hvis du har ændret SSH til 2222), skal du justere værdien i overensstemmelse hermed.
Fase 2 – Servicetype: indtast Præferencer → Servicetype, opret en ny tjeneste kaldet f.eks. SSH, vælg TCP eller TCP/UDP og definer destinationsporten 22 (kildeportintervallet kan være 0–65535). Dette lag giver dig mulighed for at referere til porten rent i ACL'en.
Fase 3 – IP-gruppe: gå til Indstillinger → IP-gruppe → IP-adresse og tilføj poster for både den tilladte kilde (f.eks. din offentlige IP-adresse eller et interval med navnet "Access_Client") og destinationsressourcen (f.eks. "SSH_Server" med serverens interne IP-adresse). Knyt derefter hver adresse til dens tilsvarende IP-gruppe i samme menu.
Fase 4 – Adgangskontrol: i Firewall → Adgangskontrol Opret to regler. 1) Tillad regel: Tillad politik, nydefineret "SSH"-tjeneste, Kilde = IP-gruppen "Access_Client" og destination = "SSH_Server". Giv det ID 1. 2) Blokeringsregel: Blokeringspolitik med kilde = IPGROUP_ANY og destination = “SSH_Server” (eller hvor det er relevant) med ID 2. På denne måde vil kun den betroede IP-adresse eller det betroede område gå gennem NAT'en til din SSH; resten vil blive blokeret.
Rækkefølgen af evalueringen er afgørende. Lavere ID'er prioriteresDerfor skal Tillad-reglen gå forud for (lavere ID) Blokeringsreglen. Når du har anvendt ændringerne, vil du kunne oprette forbindelse til routerens WAN IP-adresse på den definerede port fra den tilladte IP-adresse, men forbindelser fra andre kilder vil blive blokeret.
Model-/firmware-noter: Grænsefladen kan variere mellem hardware og versioner. TL-R600VPN kræver hardware v4 for at dække visse funktionerOg på forskellige systemer kan menuerne blive flyttet. Alligevel er flowet det samme: servicetype → IP-grupper → ACL med Tillad og Bloker. Glem ikke gem og anvend for at reglerne kan træde i kraft.
Anbefalet verifikation: Prøv fra den autoriserede IP-adresse ssh usuario@IP_WAN og verificere adgang. Fra en anden IP-adresse burde porten blive utilgængelig. (forbindelse der ikke ankommer eller afvises, ideelt set uden banner for at undgå at give ledetråde).
ACL med Omada Controller: Lister, tilstande og eksempelscenarier
Hvis du administrerer TP-Link gateways med Omada Controller, er logikken den samme, men med flere visuelle muligheder. Opret grupper (IP eller porte), definer gateway-ACL'er, og organiser reglerne at tillade det absolut nødvendige og nægte alt andet.
Lister og grupper: i Indstillinger → Profiler → Grupper Du kan oprette IP-grupper (undernet eller værter, f.eks. 192.168.0.32/27 eller 192.168.30.100/32) og også portgrupper (f.eks. HTTP 80 og DNS 53). Disse grupper forenkler komplekse regler ved at genbruge genstande.
Gateway ACL: aktiveret Konfiguration → Netværkssikkerhed → ACL Tilføj regler med LAN→WAN, LAN→LAN eller WAN→LAN retning afhængigt af hvad du vil beskytte. Politikken for hver regel kan være Tillad eller Afvis. og rækkefølgen bestemmer det faktiske resultat. Marker "Aktiver" for at aktivere dem. Nogle versioner giver dig mulighed for at lade regler være forberedte og deaktiverede.
Nyttige tilfælde (kan tilpasses SSH): Tillad kun bestemte tjenester og bloker resten (f.eks. Tillad DNS og HTTP og derefter Afvis alle). For administrationshvidlister skal du oprette Tillad fra betroede IP'er til "Gateway-administrationssiden". og derefter en generel afvisning fra de andre netværk. Hvis din firmware har den mulighed. BidirektionelDu kan automatisk generere den omvendte regel.
Forbindelsesstatus: ACL'er kan være tilstandsfulde. De almindelige typer er Nye, Etablerede, Relaterede og Ugyldige"Ny" håndterer den første pakke (f.eks. SYN i TCP), "Etableret" håndterer tidligere stødt tovejstrafik, "Relateret" håndterer afhængige forbindelser (f.eks. FTP-datakanaler), og "Ugyldig" håndterer unormal trafik. Det er generelt bedst at beholde standardindstillingerne, medmindre du har brug for ekstra granularitet.
VLAN og segmentering: Understøttelse af Omada- og SMB-routere ensrettede og tosrettede scenarier mellem VLAN'erDu kan blokere Marketing→F&U, men tillade F&U→Marketing, eller blokere begge retninger og stadig autorisere en bestemt administrator. LAN→LAN-retningen i ACL'en bruges til at styre trafik mellem interne undernet.
Yderligere metoder og forstærkninger: TCP Wrappers, iptables, MikroTik og klassisk firewall
Ud over routerens ACL'er er der andre lag, der bør anvendes, især hvis SSH-destinationen er en Linux-server bag routeren. TCP Wrappers tillader filtrering efter IP med hosts.allow og hosts.deny på kompatible tjenester (herunder OpenSSH i mange traditionelle konfigurationer).
Kontrolfiler: Hvis de ikke findes, skal du oprette dem med sudo touch /etc/hosts.{allow,deny}. Bedste praksis: benægte alt i hosts.deny og tillader det eksplicit i hosts.allow. For eksempel: i /etc/hosts.deny pon sshd: ALL og /etc/hosts.allow tilføjer sshd: 203.0.113.10, 198.51.100.0/24Således vil kun disse IP-adresser kunne nå serverens SSH-daemon.
Brugerdefinerede iptables: Hvis din router eller server tillader det, skal du tilføje regler, der kun accepterer SSH fra bestemte kilder. En typisk regel ville være: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT efterfulgt af en standard DROP-politik eller en regel, der blokerer resten. På routere med en faneblad Brugerdefinerede regler Du kan indsætte disse linjer og anvende dem med "Gem og anvend".
Bedste praksis i MikroTik (gælder som en generel vejledning): skift standardporte, hvis det er muligt, deaktiver Telnet (brug kun SSH), brug stærke adgangskoder eller, endnu bedre, nøglegodkendelseBegræns adgang via IP-adresse ved hjælp af firewallen, aktiver 2FA, hvis enheden understøtter det, og hold firmwaren/RouterOS opdateret. Deaktiver WAN-adgang, hvis du ikke har brug for detDen overvåger mislykkede forsøg og anvender om nødvendigt grænser for forbindelseshastigheder for at begrænse brute-force-angreb.
TP-Link Classic Interface (Ældre firmware): Log ind på panelet ved hjælp af LAN IP-adressen (standard 192.168.1.1) og admin/admin legitimationsoplysninger, og gå derefter til Sikkerhed → FirewallAktivér IP-filteret, og vælg at uspecificerede pakker skal følge den ønskede politik. Derefter, i IP-adressefiltrering, tryk på "Tilføj ny" og definer hvilke IP'er kan eller ikke kan bruge serviceporten på WAN'et (for SSH, 22/tcp). Gem hvert trin. Dette giver dig mulighed for at anvende en generel afvisning og oprette undtagelser for kun at tillade betroede IP'er.
Bloker specifikke IP-adresser med statiske ruter
I nogle tilfælde er det nyttigt at blokere udgående trafik til bestemte IP-adresser for at forbedre stabiliteten med bestemte tjenester (f.eks. streaming). En måde at gøre dette på flere TP-Link-enheder er via statisk routing., oprettelse af /32-ruter, der undgår at nå disse destinationer eller dirigerer dem på en sådan måde, at de ikke forbruges af standardruten (understøttelse varierer afhængigt af firmware).
Nylige modeller: gå til fanen Avanceret → Netværk → Avanceret routing → Statisk routing og tryk på "+ Tilføj". Indtast "Netværksdestination" med den IP-adresse, der skal blokeres, "Subnetmaske" 255.255.255.255, "Standardgateway" LAN-gatewayen (typisk 192.168.0.1) og "Interface" LAN. Vælg "Tillad denne post" og gemGentag for hver mål-IP-adresse, afhængigt af den tjeneste, du vil kontrollere.
Ældre firmware: gå til Avanceret routing → Statisk routingliste, tryk på "Tilføj ny" og udfyld de samme felter. Aktivér rutestatus og gemKontakt din tjenestes support for at finde ud af, hvilke IP-adresser du skal behandle, da disse kan ændre sig.
Bekræftelse: Åbn en terminal eller kommandoprompt og test med ping 8.8.8.8 (eller den destinations-IP, du har blokeret). Hvis du ser "Timeout" eller "Destinationsværten kan ikke nås"Blokeringen virker. Hvis ikke, skal du gennemgå trinnene og genstarte routeren for at alle tabellerne kan træde i kraft.
Verifikation, testning og hændelsesløsning
For at bekræfte, at din SSH-hvidliste fungerer, kan du prøve at bruge en autoriseret IP-adresse. ssh usuario@IP_WAN -p 22 (eller den port, du bruger) og bekræft adgang. Fra en uautoriseret IP-adresse bør porten ikke tilbyde service.. USA nmap -p 22 IP_WAN for at kontrollere den varme tilstand.
Hvis noget ikke reagerer som det skal, skal du kontrollere ACL-prioriteten. Reglerne behandles sekventielt, og dem med det laveste ID vinder.En "Afvis" over din "Tillad" ugyldiggør hvidlisten. Kontroller også, at "Tjenestetype" peger på den korrekte port, og at dine "IP-grupper" indeholder de korrekte intervaller.
I tilfælde af mistænkelig adfærd (tab af forbindelse efter et stykke tid, regler der ændrer sig af sig selv, LAN-trafik der falder), overvej opdater firmwarenDeaktiver tjenester, du ikke bruger (fjern web/Telnet/SSH-administration), skift legitimationsoplysninger, tjek MAC-kloning, hvis det er relevant, og i sidste ende, Gendan til fabriksindstillinger og omkonfigurer med minimale indstillinger og en streng hvidliste.
Kompatibilitet, modeller og tilgængelighedsnoter
Tilgængeligheden af funktioner (stateful ACL'er, profiler, hvidlister, PVID-redigering på porte osv.) Det kan afhænge af hardwaremodellen og versionenI nogle enheder, såsom TL-R600VPN, er visse funktioner kun tilgængelige fra version 4 og fremefter. Brugergrænsefladerne ændres også, men den grundlæggende proces er den samme: blokering som standard, definere tjenester og grupper, tillad fra specifikke IP-adresser og bloker resten.
Inden for TP-Link-økosystemet er der mange enheder involveret i virksomhedsnetværk. Modeller citeret i dokumentationen inkluderer T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, SG412F T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T372Q0G0, T37000G0 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQblandt andet. Husk på, at Tilbuddet varierer fra region til region. og nogle er muligvis ikke tilgængelige i dit område.
For at holde dig opdateret skal du besøge dit produkts supportside, vælge den korrekte hardwareversion og kontrollere firmware-noter og tekniske specifikationer med de seneste forbedringer. Nogle gange udvider eller forfiner opdateringer firewall-, ACL- eller fjernadministrationsfunktioner.
Luk SSH For alle undtagen specifikke IP-adresser, sparer korrekt organisering af ACL'er og forståelse af, hvilken mekanisme der styrer hver ting, dig for ubehagelige overraskelser. Med en standardpolitik for afvisning, præcise hvidlister og regelmæssig verifikationDin TP-Link-router og de bagvedliggende tjenester vil være meget bedre beskyttet uden at du behøver at opgive administrationen, når du har brug for det.
Har været passioneret omkring teknologi siden han var lille. Jeg elsker at være up to date i sektoren og frem for alt at formidle det. Derfor har jeg været dedikeret til kommunikation på teknologi og videospils hjemmesider i mange år. Du kan finde mig skrive om Android, Windows, MacOS, iOS, Nintendo eller et hvilket som helst andet relateret emne, som du tænker på.