- Priorisieren Sie eine standardmäßige Ablehnungsrichtlinie und verwenden Sie Whitelists für SSH.
- Kombiniert NAT + ACL: Öffnet den Port und beschränkt die Zugriffe über die Quell-IP-Adresse.
- Überprüfen Sie dies mit nmap/ping und beachten Sie die Regelpriorität (ID).
- Durch Updates, SSH-Schlüssel und minimale Dienste stärken.
¿Wie kann der SSH-Zugriff auf einen TP-Link-Router auf vertrauenswürdige IP-Adressen beschränkt werden? Die Kontrolle darüber, wer über SSH auf Ihr Netzwerk zugreifen kann, ist keine Laune, sondern eine unerlässliche Sicherheitsmaßnahme. Zugriff nur von vertrauenswürdigen IP-Adressen zulassen Es verringert die Angriffsfläche, verlangsamt automatische Scans und verhindert ständige Eindringversuche aus dem Internet.
In diesem praktischen und umfassenden Leitfaden erfahren Sie, wie Sie dies in verschiedenen Szenarien mit TP-Link-Geräten (SMB und Omada) umsetzen, was bei ACL-Regeln und Whitelists zu beachten ist und wie Sie überprüfen können, ob alles ordnungsgemäß geschlossen ist. Wir integrieren zusätzliche Methoden wie TCP Wrappers, iptables und bewährte Verfahren. So können Sie Ihre Umgebung absichern, ohne irgendwelche Sicherheitslücken zu hinterlassen.
Warum den SSH-Zugriff auf TP-Link-Routern einschränken?
Die Freigabe von SSH im Internet öffnet Tür und Tor für massive Scans durch bereits neugierige Bots mit böswilligen Absichten. Es ist nicht ungewöhnlich, nach einem Scan Port 22 im WAN als erreichbar zu entdecken, wie in [Beispiele für SSH] beobachtet wurde. kritische Ausfälle bei TP-Link-Routern. Mit einem einfachen nmap-Befehl lässt sich überprüfen, ob Port 22 Ihrer öffentlichen IP-Adresse geöffnet ist.: führt so etwas auf einem externen Rechner aus nmap -vvv -p 22 TU_IP_PUBLICA und prüfen Sie, ob "open ssh" angezeigt wird.
Selbst wenn Sie öffentliche Schlüssel verwenden, lädt das Offenlassen von Port 22 zu weiteren Erkundungen, dem Testen anderer Ports und dem Angriff auf Verwaltungsdienste ein. Die Lösung ist klar: Standardmäßig verweigern und nur von zulässigen IPs oder Bereichen zulassen.Idealerweise sollte die Konfiguration von Ihnen selbst festgelegt und kontrolliert werden. Falls Sie keine Fernverwaltung benötigen, deaktivieren Sie diese im WAN vollständig.
Neben der Offenlegung von Ports gibt es Situationen, in denen man Regeländerungen oder anomales Verhalten vermuten könnte (zum Beispiel ein Kabelmodem, das nach einer Weile anfängt, ausgehenden Datenverkehr zu "verwerfen"). Wenn Sie feststellen, dass Ping, Traceroute oder Surfen am Modem hängen bleiben, überprüfen Sie die Einstellungen und die Firmware und ziehen Sie in Erwägung, die Werkseinstellungen wiederherzustellen. Und schließen Sie alles, was Sie nicht benutzen.
Mentales Modell: Standardmäßig blockieren und eine Whitelist erstellen
Die Erfolgsstrategie ist einfach: Standardmäßige Ablehnungsrichtlinie und explizite AusnahmenBei vielen TP-Link-Routern mit einer erweiterten Benutzeroberfläche können Sie in der Firewall eine Drop-Type-Remote-Ingress-Richtlinie festlegen und anschließend bestimmte Adressen auf einer Whitelist für Verwaltungsdienste zulassen.
Auf Systemen, die die Optionen „Remote Input Policy“ und „Whitelist rules“ (auf den Seiten Netzwerk – Firewall) enthalten, Markenhinweis bei der Fernzugriffsrichtlinie Ergänzen Sie die Whitelist um die öffentlichen IP-Adressen im CIDR-Format XXXX/XX, die die Konfiguration oder Dienste wie SSH/Telnet/HTTP(S) erreichen können sollen. Diese Einträge können eine kurze Beschreibung enthalten, um spätere Verwirrung zu vermeiden.
Es ist entscheidend, den Unterschied zwischen den Mechanismen zu verstehen. Portweiterleitung (NAT/DNAT) leitet Ports an LAN-Rechner um.Während „Filterregeln“ den WAN-zu-LAN- oder netzwerkübergreifenden Datenverkehr steuern, regeln die „Whitelist-Regeln“ der Firewall den Zugriff auf das Verwaltungssystem des Routers. Filterregeln blockieren nicht den Zugriff auf das Gerät selbst; hierfür verwenden Sie Whitelists oder spezifische Regeln für den eingehenden Datenverkehr zum Router.
Um auf interne Dienste zugreifen zu können, wird in NAT eine Portweiterleitung erstellt und anschließend eingeschränkt, wer von außerhalb auf diese Weiterleitung zugreifen kann. Das Rezept lautet: den benötigten Port öffnen und ihn dann mit Zugriffskontrolle einschränken. das nur autorisierten Quellen den Durchlass erlaubt und alle anderen blockiert.
SSH-Zugriff von vertrauenswürdigen IPs auf TP-Link SMB (ER6120/ER8411 und ähnliche)
Bei SMB-Routern wie dem TL-ER6120 oder ER8411 ist das übliche Vorgehen zum Ankündigen eines LAN-Dienstes (z. B. SSH auf einem internen Server) und zum Begrenzen desselben über die Quell-IP zweiphasig. Zuerst wird der Port mit einem virtuellen Server (NAT) geöffnet und anschließend mit der Zugriffskontrolle gefiltert. basierend auf IP-Gruppen und Diensttypen.
Phase 1 – Virtueller Server: Gehen Sie zu Erweitert → NAT → Virtueller Server und erstellt einen Eintrag für die entsprechende WAN-Schnittstelle. Konfigurieren Sie den externen Port 22 und verweisen Sie ihn auf die interne IP-Adresse des Servers (z. B. 192.168.0.2:22).Speichern Sie die Regel, um sie der Liste hinzuzufügen. Falls in Ihrem Fall ein anderer Port verwendet wird (z. B. wenn Sie SSH auf 2222 geändert haben), passen Sie den Wert entsprechend an.
Phase 2 – Serviceart: eingeben Einstellungen → DiensttypErstellen Sie einen neuen Dienst, beispielsweise mit dem Namen SSH, und wählen Sie aus TCP oder TCP/UDP und definieren Sie den Zielport 22 (der Quellportbereich kann 0–65535 sein). Diese Ebene ermöglicht es Ihnen, den Port in der ACL sauber zu referenzieren..
Phase 3 – IP-Gruppe: Gehen Sie zu Einstellungen → IP-Gruppe → IP-Adresse und fügen Sie Einträge sowohl für die zulässige Quelle (z. B. Ihre öffentliche IP-Adresse oder einen Bereich mit dem Namen „Access_Client“) als auch für die Zielressource (z. B. „SSH_Server“ mit der internen IP-Adresse des Servers) hinzu. Ordnen Sie dann jede Adresse der entsprechenden IP-Gruppe zu. innerhalb desselben Menüs.
Phase 4 – Zugangskontrolle: in Firewall → Zugriffskontrolle Erstellen Sie zwei Regeln. 1) Zulassungsregel: Zulassungsrichtlinie, neu definierter "SSH"-Dienst, Quelle = IP-Gruppe "Access_Client" und Ziel = "SSH_Server". Weisen Sie ihr die ID 1 zu. 2) Blockierungsregel: Blockierungsrichtlinie mit Quelle = IPGROUP_ANY und Ziel = „SSH_Server“ (oder gegebenenfalls) mit der ID 2. Auf diese Weise werden nur die vertrauenswürdigen IP-Adressen oder IP-Adressbereiche über das NAT zu Ihrem SSH-Zugang geleitet; alle anderen werden blockiert.
Die Reihenfolge der Bewertung ist von entscheidender Bedeutung. Niedrigere IDs haben PrioritätDaher muss die Zulassungsregel vor der Blockierungsregel stehen (niedrigere ID). Nach Anwendung der Änderungen können Sie sich von der zugelassenen IP-Adresse aus über den definierten Port mit der WAN-IP-Adresse des Routers verbinden, Verbindungen von anderen Quellen werden jedoch blockiert.
Hinweise zu Modell/Firmware: Die Benutzeroberfläche kann je nach Hardware und Version variieren. Für bestimmte Funktionen des TL-R600VPN ist Hardware v4 erforderlich.Auf verschiedenen Systemen können die Menüs an unterschiedlichen Stellen angeordnet sein. Der Ablauf ist jedoch derselbe: Diensttyp → IP-Gruppen → ACL mit Zulassen und Blockieren. Nicht vergessen! speichern und anwenden damit die Regeln in Kraft treten können.
Empfohlene Überprüfung: Versuchen Sie von der autorisierten IP-Adresse aus Folgendes: ssh usuario@IP_WAN und den Zugriff überprüfen. Von einer anderen IP-Adresse aus sollte der Port nicht mehr erreichbar sein. (Verbindung, die nicht zustande kommt oder abgelehnt wird, idealerweise ohne Banner, um keine Hinweise zu geben).
ACL mit Omada Controller: Listen, Zustände und Beispielszenarien
Wenn Sie TP-Link-Gateways mit Omada Controller verwalten, ist die Logik ähnlich, jedoch mit mehr visuellen Optionen. Erstellen Sie Gruppen (IP-Adressen oder Ports), definieren Sie Gateway-ACLs und organisieren Sie die Regeln. Das absolute Minimum zulassen und alles andere verweigern.
Listen und Gruppen: in Einstellungen → Profile → Gruppen Sie können IP-Gruppen (Subnetze oder Hosts, z. B. 192.168.0.32/27 oder 192.168.30.100/32) und auch Portgruppen (z. B. HTTP 80 und DNS 53) erstellen. Diese Gruppen vereinfachen komplexe Regeln durch die Wiederverwendung von Objekten.
Gateway-ACL: aktiviert Konfiguration → Netzwerksicherheit → ACL Fügen Sie Regeln mit der Richtung LAN→WAN, LAN→LAN oder WAN→LAN hinzu, je nachdem, was Sie schützen möchten. Die Richtlinie für jede Regel kann „Zulassen“ oder „Verweigern“ lauten. Die Reihenfolge bestimmt das Ergebnis. Aktivieren Sie „Aktivieren“, um die Regeln in Kraft zu setzen. In manchen Versionen können Sie Regeln vorbereitet, aber deaktiviert lassen.
Nützliche Anwendungsfälle (anpassbar an SSH): Nur bestimmte Dienste zulassen und den Rest blockieren (z. B. DNS und HTTP zulassen und dann alles verweigern). Für Management-Whitelists erstellen Sie eine Zulassungsberechtigung von vertrauenswürdigen IPs auf der „Gateway-Administrationsseite“. und dann eine generelle Ablehnung von den anderen Netzwerken. Falls Ihre Firmware diese Option bietet. BidirektionalDie Umkehrregel kann automatisch generiert werden.
Verbindungsstatus: ACLs können zustandsbehaftet sein. Die gängigen Typen sind Neu, Etabliert, Verwandt und Ungültig.„Neu“ behandelt das erste Paket (z. B. SYN in TCP), „Bestehend“ behandelt bereits bestehenden bidirektionalen Datenverkehr, „Verwandt“ behandelt abhängige Verbindungen (wie FTP-Datenkanäle) und „Ungültig“ behandelt anomalen Datenverkehr. Im Allgemeinen empfiehlt es sich, die Standardeinstellungen beizubehalten, es sei denn, Sie benötigen eine feinere Differenzierung.
VLAN und Segmentierung: Unterstützung für Omada- und SMB-Router unidirektionale und bidirektionale Szenarien zwischen VLANsSie können den Datenverkehr Marketing → F&E blockieren, aber den Datenverkehr F&E → Marketing zulassen, oder beide Richtungen blockieren und dennoch einen bestimmten Administrator autorisieren. Die LAN → LAN-Richtung in der ACL dient zur Steuerung des Datenverkehrs zwischen internen Subnetzen.
Weitere Methoden und Verstärkungen: TCP-Wrapper, iptables, MikroTik und klassische Firewalls
Zusätzlich zu den ACLs des Routers gibt es weitere Ebenen, die angewendet werden sollten, insbesondere wenn das SSH-Ziel ein Linux-Server hinter dem Router ist. TCP Wrappers ermöglicht das Filtern nach IP-Adresse mit hosts.allow und hosts.deny. auf kompatiblen Diensten (einschließlich OpenSSH in vielen traditionellen Konfigurationen).
Steuerdateien: Falls diese nicht existieren, erstellen Sie sie mit sudo touch /etc/hosts.{allow,deny}. Bewährte Vorgehensweise: Alles in hosts.deny verweigern. und erlaubt es explizit in hosts.allow. Zum Beispiel: in /etc/hosts.deny pon sshd: ALL und /etc/hosts.allow addieren sshd: 203.0.113.10, 198.51.100.0/24Somit können nur diese IPs den SSH-Daemon des Servers erreichen.
Benutzerdefinierte iptables: Falls Ihr Router oder Server dies zulässt, fügen Sie Regeln hinzu, die SSH nur von bestimmten Quellen akzeptieren. Eine typische Regel wäre: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT gefolgt von einer standardmäßigen DROP-Richtlinie oder einer Regel, die den Rest blockiert. Auf Routern mit einer Registerkarte von Benutzerdefinierte Regeln Sie können diese Zeilen einfügen und mit „Speichern & Anwenden“ anwenden.
Bewährte Vorgehensweisen bei MikroTik (als allgemeine Richtlinie anwendbar): Ändern Sie nach Möglichkeit die Standardports. Telnet deaktivieren (Nur SSH verwenden), sichere Passwörter verwenden oder, noch besser, SchlüsselauthentifizierungBeschränken Sie den Zugriff über die Firewall auf die IP-Adresse, aktivieren Sie die Zwei-Faktor-Authentifizierung, falls das Gerät dies unterstützt, und halten Sie die Firmware/RouterOS auf dem neuesten Stand. Deaktivieren Sie den WAN-Zugriff, wenn Sie ihn nicht benötigen.Es überwacht fehlgeschlagene Verbindungsversuche und wendet gegebenenfalls Verbindungsratenbegrenzungen an, um Brute-Force-Angriffe einzudämmen.
TP-Link Classic-Oberfläche (ältere Firmware): Melden Sie sich mit der LAN-IP-Adresse (Standard: 192.168.1.1) und den Anmeldedaten admin/admin am Bedienfeld an und gehen Sie dann zu Sicherheit → FirewallAktivieren Sie den IP-Filter und legen Sie fest, dass nicht spezifizierte Pakete der gewünschten Richtlinie folgen sollen. Anschließend in IP-AdressenfilterungKlicken Sie auf „Neu hinzufügen“ und definieren Sie welche IPs den Dienstport nutzen können bzw. nicht nutzen können im WAN (für SSH, Port 22/TCP). Speichern Sie jeden Schritt. Dadurch können Sie eine allgemeine Sperre festlegen und Ausnahmen erstellen, um nur vertrauenswürdige IP-Adressen zuzulassen.
Bestimmte IPs mit statischen Routen blockieren
In einigen Fällen ist es sinnvoll, ausgehende Verbindungen zu bestimmten IP-Adressen zu blockieren, um die Stabilität bestimmter Dienste (z. B. Streaming) zu verbessern. Eine Möglichkeit, dies auf mehreren TP-Link-Geräten zu realisieren, ist die Verwendung von statischem Routing., indem /32-Routen erstellt werden, die diese Ziele entweder vermeiden oder sie so umleiten, dass sie nicht von der Standardroute belegt werden (die Unterstützung variiert je nach Firmware).
Neueste Modelle: Gehen Sie zum Tab Erweitert → Netzwerk → Erweitertes Routing → Statisches Routing und drücken Sie "+ Hinzufügen". Geben Sie als "Netzwerkziel" die zu blockierende IP-Adresse, als "Subnetzmaske" 255.255.255.255, als "Standardgateway" das LAN-Gateway (typischerweise 192.168.0.1) und als "Schnittstelle" LAN ein. Wählen Sie „Diesen Eintrag zulassen“ und speichern Sie.Wiederholen Sie den Vorgang für jede Ziel-IP-Adresse, je nachdem, welchen Dienst Sie steuern möchten.
Ältere Firmware-Versionen: Gehen Sie zu Erweitertes Routing → Statische RoutinglisteKlicken Sie auf „Neu hinzufügen“ und füllen Sie die gleichen Felder aus. Routenstatus aktivieren und speichernWenden Sie sich an den Support Ihres Anbieters, um herauszufinden, welche IPs behandelt werden müssen, da sich diese ändern können.
Überprüfung: Öffnen Sie ein Terminal oder eine Eingabeaufforderung und testen Sie mit ping 8.8.8.8 (oder die Ziel-IP-Adresse, die Sie blockiert haben). Wenn Sie die Meldung „Zeitüberschreitung“ oder „Zielhost nicht erreichbar“ sehenDie Blockierung funktioniert. Falls nicht, überprüfen Sie die Schritte und starten Sie den Router neu, damit alle Tabellen wirksam werden.
Verifizierung, Tests und Störungsbehebung
Um zu überprüfen, ob Ihre SSH-Whitelist funktioniert, versuchen Sie es mit einer autorisierten IP-Adresse. ssh usuario@IP_WAN -p 22 (oder den von Ihnen verwendeten Port) und bestätigen Sie den Zugriff. Von einer nicht autorisierten IP-Adresse sollte der Port keinen Dienst anbieten.. Verwendet nmap -p 22 IP_WAN um den Heißzustand zu überprüfen.
Wenn etwas nicht wie erwartet reagiert, überprüfen Sie die ACL-Priorität. Die Regeln werden der Reihe nach abgearbeitet, und diejenigen mit der niedrigsten ID gewinnen.Ein Eintrag „Verweigern“ über einem Eintrag „Zulassen“ macht die Whitelist ungültig. Überprüfen Sie außerdem, ob der „Diensttyp“ auf den richtigen Port verweist und ob Ihre „IP-Gruppen“ die entsprechenden Bereiche enthalten.
Im Falle verdächtigen Verhaltens (Verbindungsverlust nach einer gewissen Zeit, sich selbstständig ändernde Regeln, plötzlicher Rückgang des LAN-Verkehrs) sollten Sie Folgendes beachten: Aktualisieren Sie die FirmwareDeaktivieren Sie nicht genutzte Dienste (Fernadministration per Web/Telnet/SSH), ändern Sie die Zugangsdaten, prüfen Sie gegebenenfalls die MAC-Klonfunktion und schließlich Auf Werkseinstellungen zurücksetzen und mit minimalen Einstellungen und einer strikten Whitelist neu konfigurieren..
Hinweise zu Kompatibilität, Modellen und Verfügbarkeit
Die Verfügbarkeit von Funktionen (zustandsbehaftete ACLs, Profile, Whitelists, PVID-Bearbeitung an Ports usw.) Dies kann vom Hardwaremodell und der Version abhängen.Bei einigen Geräten, wie beispielsweise dem TL-R600VPN, sind bestimmte Funktionen erst ab Version 4 verfügbar. Auch die Benutzeroberflächen ändern sich, der grundlegende Prozess bleibt jedoch gleich: Blockierung ist standardmäßig aktiviert. Dienstleistungen und Gruppen definieren, Zugriffe von bestimmten IP-Adressen zulassen und alle anderen blockieren.
Im TP-Link-Ökosystem sind zahlreiche Geräte in Unternehmensnetzwerken im Einsatz. Zu den in der Dokumentation genannten Modellen gehören: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQunter anderem. Beachten Sie, dass Das Angebot variiert je nach Region. und einige sind möglicherweise in Ihrer Region nicht verfügbar.
Um auf dem neuesten Stand zu bleiben, besuchen Sie die Supportseite Ihres Produkts, wählen Sie die richtige Hardwareversion aus und überprüfen Sie Firmware-Hinweise und technische Spezifikationen mit den neuesten Verbesserungen. Manchmal erweitern oder verfeinern Updates Firewall-, ACL- oder Fernverwaltungsfunktionen.
Schließen Sie die SSH Bei allen IPs außer bestimmten bewahrt Sie die korrekte Organisation von ACLs und das Verständnis der jeweiligen Steuerungsmechanismen vor unangenehmen Überraschungen. Mit einer standardmäßigen Ablehnungsrichtlinie, präzisen Whitelists und regelmäßiger ÜberprüfungIhr TP-Link-Router und die dahinter stehenden Dienste werden wesentlich besser geschützt sein, ohne dass Sie auf die Verwaltung verzichten müssen, wenn Sie diese benötigen.
Seit seiner Kindheit begeistert er sich für Technik. Ich liebe es, in der Branche auf dem neuesten Stand zu sein und es vor allem zu kommunizieren. Deshalb widme ich mich seit vielen Jahren der Kommunikation auf Technologie- und Videospiel-Websites. Ich schreibe über Android, Windows, MacOS, iOS, Nintendo oder jedes andere verwandte Thema, das mir in den Sinn kommt.