- Prioritatigu defaŭltan rifuzpolitikon kaj uzu blankajn listojn por SSH.
- Kombinas NAT + ACL: malfermas la pordon kaj limigas laŭ fonta IP-adreso.
- Kontrolu per nmap/ping kaj respektu la regulprioritaton (ID).
- Plifortigu per ĝisdatigoj, SSH-ŝlosiloj kaj minimumaj servoj.
¿Kiel limigi SSH-aliron al TP-Link-enkursigilo al fidindaj IP-adresoj? Kontroli kiu povas aliri vian reton per SSH ne estas kaprico, ĝi estas esenca tavolo de sekureco. Permesu aliron nur de fidindaj IP-adresoj Ĝi reduktas la ataksurfacon, malrapidigas aŭtomatajn skanadojn, kaj malhelpas konstantajn entrudiĝajn provojn de la Interreto.
En ĉi tiu praktika kaj ampleksa gvidilo vi vidos kiel fari ĝin en diversaj scenaroj kun TP-Link-ekipaĵo (SMB kaj Omada), kion konsideri pri ACL-reguloj kaj blankaj listoj, kaj kiel kontroli, ke ĉio estas ĝuste fermita. Ni integras pliajn metodojn kiel TCP-envolvaĵojn, iptables, kaj plej bonajn praktikojn. do vi povas sekurigi vian medion sen lasi iujn ajn nefinitajn finojn.
Kial limigi SSH-aliron ĉe TP-Link-enkursigiloj
Malkovri SSH al la interreto malfermas la pordon al amasaj traserĉoj fare de jam scivolaj robotoj kun malica intenco. Ne estas nekutime detekti pordon 22 alireblan sur la WAN post skanado, kiel oni observis en [ekzemploj de SSH]. kritikaj paneoj en TP-Link-enkursigiloj. Simpla komando nmap povas esti uzata por kontroli ĉu via publika IP-adreso havas pordon 22 malfermita.: efektivigas ion tian sur ekstera maŝino nmap -vvv -p 22 TU_IP_PUBLICA kaj kontrolu ĉu aperas "malfermi ssh".
Eĉ se vi uzas publikajn ŝlosilojn, lasi pordon 22 malfermita invitas plian esploradon, testadon de aliaj pordoj kaj atakadon de administradaj servoj. La solvo estas klara: nei defaŭlte kaj ebligi nur de permesitaj IP-adresoj aŭ intervaloj.Prefereble riparita kaj kontrolata de vi. Se vi ne bezonas foran administradon, tute malŝaltu ĝin ĉe la WAN.
Aldone al la malkaŝo de pordoj, ekzistas situacioj kie vi eble suspektas regulŝanĝojn aŭ anomalian konduton (ekzemple, kabla modemo kiu komencas "forĵeti" elirantan trafikon post iom da tempo). Se vi rimarkas, ke ping, spurirote, aŭ foliumado ne trapasas la modemon, kontrolu la agordojn, firmvaron, kaj konsideru restarigi fabrikajn agordojn. kaj fermu ĉion, kion vi ne uzas.
Mensa modelo: bloki defaŭlte kaj krei blankan liston
La venka filozofio estas simpla: defaŭlta rifuza politiko kaj eksplicitaj esceptojĈe multaj TP-Link-enkursigiloj kun altnivela interfaco, vi povas agordi politikon pri malproksima eniro de tipo "Drop" en la fajromuron, kaj poste permesi specifajn adresojn en blanka listo por administraj servoj.
En sistemoj kiuj inkluzivas opciojn "Remote Input Policy" kaj "Whitelist rules" (en la paĝoj Reto - Fajromuro), Forigu markon en malproksima enirpolitiko Kaj aldonu al la blanka listo la publikajn IP-adresojn en CIDR-formato XXXX/XX, kiuj devus povi atingi la agordon aŭ servojn kiel SSH/Telnet/HTTP(S). Ĉi tiuj enskriboj povas inkluzivi mallongan priskribon por eviti konfuzon poste.
Estas grave kompreni la diferencon inter la mekanismoj. Havenplusendado (NAT/DNAT) redirektas havenojn al LAN-maŝinojDum "Filtrilaj reguloj" regas trafikon de WAN al LAN aŭ interretan trafikon, la "Blanklistaj reguloj" de la fajromuro regas aliron al la mastruma sistemo de la enkursigilo. Filtrilaj reguloj ne blokas aliron al la aparato mem; por tio, vi uzas blankajn listojn aŭ specifajn regulojn koncerne alvenantan trafikon al la enkursigilo.
Por aliri internajn servojn, havenmapado estas kreita en NAT kaj poste estas limigita kiu povas atingi tiun mapadon de ekstere. La recepto estas: malfermu la necesan pordon kaj poste limigu ĝin per alirkontrolo. kiu permesas trapasi nur al rajtigitaj fontoj kaj blokas la ceterajn.
SSH de fidindaj IP-adresoj ĉe TP-Link SMB (ER6120/ER8411 kaj similaj)
En SMB-enkursigiloj kiel TL-ER6120 aŭ ER8411, la kutima ŝablono por reklami LAN-servon (ekz., SSH sur interna servilo) kaj limigi ĝin per fonta IP-adreso estas dufaza. Unue, la haveno estas malfermita per Virtuala Servilo (NAT), kaj poste ĝi estas filtrata per Alirkontrolo. bazita sur IP-grupoj kaj servospecoj.
Fazo 1 – Virtuala Servilo: iru al Altnivela → NAT → Virtuala Servilo kaj kreas eniron por la koresponda WAN-interfaco. Agordu eksteran pordon 22 kaj direktu ĝin al la interna IP-adreso de la servilo (ekzemple, 192.168.0.2:22)Konservu la regulon por aldoni ĝin al la listo. Se via kazo uzas malsaman pordon (ekz., vi ŝanĝis SSH al 2222), ĝustigu la valoron laŭe.
Fazo 2 – Servotipo: enigu Preferoj → Servotipo, kreu novan servon nomatan, ekzemple, SSH, elektu TCP aŭ TCP/UDP kaj difinu la celan pordon 22 (la fonta porda intervalo povas esti 0–65535). Ĉi tiu tavolo permesos al vi referenci la pordon pure en la ACL.
Fazo 3 – IP-Grupo: iru al Preferoj → IP-Grupo → IP-Adreso kaj aldonu enskribojn por ambaŭ la permesita fonto (ekz. via publika IP-adreso aŭ intervalo, nomata "Alira_Kliento") kaj la cela rimedo (ekz. "SSH_Servilo" kun la interna IP-adreso de la servilo). Poste asociu ĉiun adreson kun ĝia koresponda IP-grupo ene de la sama menuo.
Fazo 4 – Alirkontrolo: en Fajromuro → Alirkontrolo Kreu du regulojn. 1) Permesi Regulon: Permesi politikon, nove difinitan "SSH" servon, Fonto = IP-grupo "Aliro_Kliento" kaj celloko = "SSH_Servilo"Donu al ĝi identigilon 1. 2) Blokada Regulo: Bloku politikon per fonto = IPGROUP_ANY kaj celloko = “SSH_Servilo” (aŭ laŭkaze) kun ID 2. Tiel, nur la fidinda IP-adreso aŭ intervalo iros tra la NAT al via SSH; la resto estos blokita.
La ordo de taksado estas esenca. Pli malaltaj identigiloj prioritatasTial, la regulo Permesi devas antaŭi (malsupra ID) la regulon Bloki. Post apliko de la ŝanĝoj, vi povos konektiĝi al la WAN IP-adreso de la rutero per la difinita haveno de la permesita IP-adreso, sed konektoj de aliaj fontoj estos blokitaj.
Notoj pri modelo/firmvaro: La interfaco povas varii inter aparataro kaj versioj. TL-R600VPN postulas aparataron v4 por kovri certajn funkciojnKaj ĉe malsamaj sistemoj, la menuoj povas esti translokigitaj. Tamen, la fluo estas la sama: servotipo → IP-grupoj → ACL kun Permesi kaj Bloki. Ne forgesu konservi kaj apliki por ke la reguloj ekvalidu.
Rekomendita konfirmo: De la rajtigita IP-adreso, provu ssh usuario@IP_WAN kaj kontrolu aliron. De alia IP-adreso, la pordo devus fariĝi neatingebla. (konekto kiu ne alvenas aŭ estas malakceptita, ideale sen standardo por eviti doni indicojn).
ACL kun Omada Regilo: Listoj, Ŝtatoj, kaj Ekzemplaj Scenaroj
Se vi administras TP-Link-enirejojn per Omada Regilo, la logiko estas simila sed kun pli vidaj opcioj. Krei grupojn (IP aŭ havenoj), difini enirejajn ACL-ojn, kaj organizi la regulojn permesi la absolutan minimumon kaj nei ĉion alian.
Listoj kaj grupoj: en Agordoj → Profiloj → Grupoj Vi povas krei IP-grupojn (subretojn aŭ retgastigantojn, kiel ekzemple 192.168.0.32/27 aŭ 192.168.30.100/32) kaj ankaŭ pordgrupojn (ekzemple, HTTP 80 kaj DNS 53). Ĉi tiuj grupoj simpligas kompleksajn regulojn per reuzado de objektoj.
Enireja ACL: ŝaltita Agordo → Reta Sekureco → ACL Aldonu regulojn kun direkto LAN→WAN, LAN→LAN aŭ WAN→LAN depende de tio, kion vi volas protekti. La politiko por ĉiu regulo povas esti Permesi aŭ Malpermesi. kaj la ordo difinas la faktan rezulton. Marku "Ebligi" por aktivigi ilin. Kelkaj versioj permesas al vi lasi regulojn pretaj kaj malebligitaj.
Utilaj kazoj (adapteblaj al SSH): permesi nur specifajn servojn kaj bloki la ceterajn (ekz., Permesi DNS kaj HTTP kaj poste Malpermesi Ĉion). Por administradaj blankaj listoj, kreu Permesi de Fidindaj IP-adresoj al la "Paĝo de Administrado de Enirejo" kaj poste ĝeneralan rifuzon de la aliaj retoj. Se via firmvaro havas tiun opcion. DudirektaVi povas aŭtomate generi la inversan regulon.
Konekta stato: ACL-oj povas esti plenaj de stato. La komunaj tipoj estas Nova, Establita, Rilata kaj Malvalida"Nova" traktas la unuan pakaĵeton (ekz., SYN en TCP), "Establita" traktas antaŭe renkontitan dudirektan trafikon, "Rilata" traktas dependajn konektojn (kiel ekzemple FTP-datenkanalojn), kaj "Malvalida" traktas anomalian trafikon. Ĝenerale estas plej bone konservi la defaŭltajn agordojn krom se vi bezonas ekstran detalecon.
VLAN kaj segmentado: subteno por Omada kaj SMB-enkursigiloj unudirektaj kaj dudirektaj scenaroj inter VLAN-ojVi povas bloki Merkatadon→Esploradon kaj Disvolvadon sed permesi Esploradon kaj Disvolvadon→Merkatadon, aŭ bloki ambaŭ direktojn kaj tamen rajtigi specifan administranton. La direkto LAN→LAN en la ACL estas uzata por kontroli trafikon inter internaj subretoj.
Pliaj metodoj kaj plifortigoj: TCP-envolvaĵoj, iptables, MikroTik kaj klasika fajromuro
Aldone al la ACL-oj de la enkursigilo, ekzistas aliaj tavoloj, kiujn oni devus apliki, precipe se la SSH-celo estas Linuksa servilo malantaŭ la enkursigilo. TCP-envolvaĵoj permesas filtradon laŭ IP-adreso per hosts.allow kaj hosts.deny sur kongruaj servoj (inkluzive de OpenSSH en multaj tradiciaj konfiguracioj).
Kontroldosieroj: se ili ne ekzistas, kreu ilin per sudo touch /etc/hosts.{allow,deny}. Plej bona praktiko: nei ĉion en hosts.deny kaj eksplicite permesas ĝin en hosts.allow. Ekzemple: en /etc/hosts.deny pon sshd: ALL kaj en /etc/hosts.allow aldonu sshd: 203.0.113.10, 198.51.100.0/24Tiel, nur tiuj IP-adresoj povos atingi la SSH-demonon de la servilo.
Propraj iptables: Se via rutero aŭ servilo permesas tion, aldonu regulojn kiuj akceptas SSH nur de specifaj fontoj. Tipa regulo estus: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT sekvata de defaŭlta DROP-politiko aŭ regulo kiu blokas la reston. Sur enkursigiloj kun langeto de Propraj reguloj Vi povas injekti ĉi tiujn liniojn kaj apliki ilin per "Konservi kaj Apliki".
Plej bonaj praktikoj en MikroTik (aplikeblaj kiel ĝenerala gvidilo): ŝanĝi defaŭltajn pordojn se eble, malaktivigi Telnet (uzu nur SSH), uzu fortajn pasvortojn aŭ, eĉ pli bone, ŝlosila aŭtentigoLimigu aliron per IP-adreso uzante la fajromuron, ebligu 2FA se la aparato subtenas ĝin, kaj tenu la firmvaron/RouterOS ĝisdatigita. Malŝalti WAN-aliron se vi ne bezonas ĝinĜi monitoras malsukcesajn provojn kaj, se necese, aplikas limojn pri konekta rapideco por limigi krudfortajn atakojn.
TP-Link Classic Interface (Pli malnova firmvaro): Ensalutu al la panelo uzante la LAN IP-adreson (defaŭlte 192.168.1.1) kaj administrantajn akreditaĵojn, poste iru al Sekureco → FajromuroEbligu la IP-filtrilon kaj elektu, ke nespecifitaj pakaĵoj sekvu la deziratan politikon. Poste, en IP-Adresa Filtrado, premu "Aldoni novan" kaj difinu kiuj IP-adresoj povas aŭ ne povas uzi la servan pordon sur la WAN (por SSH, 22/tcp). Konservu ĉiun paŝon. Ĉi tio permesas al vi apliki ĝeneralan rifuzon kaj krei esceptojn por permesi nur fidindajn IP-adresojn.
Bloku specifajn IP-adresojn per statikaj itineroj
En iuj kazoj estas utile bloki elirantajn mesaĝojn al specifaj IP-adresoj por plibonigi stabilecon ĉe certaj servoj (kiel ekzemple streaming). Unu maniero fari tion ĉe pluraj TP-Link-aparatoj estas per statika vojigo., kreante /32-itinerojn kiuj evitas atingi tiujn cellokojn aŭ direktas ilin tiel ke ili ne estas konsumitaj de la defaŭlta itinero (subteno varias laŭ firmvaro).
Lastatempaj modeloj: iru al la langeto Altnivela → Reto → Altnivela Enrutado → Statika Enrutado kaj premu "+ Aldoni". Enigu "Reta Celloko" kun la IP-adreso por bloki, "Subreta Masko" 255.255.255.255, "Defaŭlta Enirejo" la LAN-enirejon (tipe 192.168.0.1) kaj "Interfaco" LAN. Elektu "Permesi ĉi tiun eniron" kaj konservuRipetu por ĉiu cela IP-adreso depende de la servo, kiun vi volas kontroli.
Pli malnovaj firmvaroj: iru al Altnivela vojigo → Statika vojiga listo, premu "Aldoni novan" kaj plenigu la samajn kampojn. Aktivigi itinerstaton kaj konserviKonsultu la subtenon de via servo por ekscii, kiujn IP-adresojn trakti, ĉar tiuj povas ŝanĝiĝi.
Konfirmo: Malfermu terminalon aŭ komandlinion kaj testu per ping 8.8.8.8 (aŭ la cela IP-adreso, kiun vi blokis). Se vi vidas "Tempolimo" aŭ "Celoka gastiganto neatingebla"La blokado funkcias. Se ne, kontrolu la paŝojn kaj rekomencu la enkursigilon por ke ĉiuj tabeloj efiku.
Konfirmo, testado kaj okazaĵsolvado
Por kontroli ĉu via SSH-blanklisto funkcias, provu uzi rajtigitan IP-adreson. ssh usuario@IP_WAN -p 22 (aŭ la pordon, kiun vi uzas) kaj konfirmu aliron. De neaŭtorizita IP-adreso, la pordo ne devus oferti servon.. Usono nmap -p 22 IP_WAN por kontroli la varman staton.
Se io ne respondas kiel ĝi devus, kontrolu la ACL-prioritaton. La reguloj estas prilaboritaj sinsekve, kaj tiuj kun la plej malalta ID venkas.Malakcepto super via Permeso malvalidigas la blankan liston. Ankaŭ kontrolu, ke la "Servotipo" montras al la ĝusta pordo kaj ke viaj "IP-Grupoj" enhavas la taŭgajn intervalojn.
En kazo de suspektinda konduto (perdo de konektebleco post iom da tempo, reguloj kiuj ŝanĝiĝas memstare, LAN-trafiko kiu falas), konsideru ĝisdatigi la firmwareMalŝaltu servojn, kiujn vi ne uzas (fora TTT/Telnet/SSH administrado), ŝanĝu akreditaĵojn, kontrolu MAC-klonadon se aplikeble, kaj finfine, Restaŭri al fabrikaj agordoj kaj rekonfiguri kun minimumaj agordoj kaj strikta blanka listo.
Kongrueco, modeloj kaj notoj pri havebleco
La havebleco de funkcioj (stathavaj ACL-oj, profiloj, blankaj listoj, PVID-redaktado sur pordoj, ktp.) Ĝi povas dependi de la aparatara modelo kaj versioEn iuj aparatoj, kiel ekzemple la TL-R600VPN, certaj kapabloj estas haveblaj nur ekde versio 4. La uzantinterfacoj ankaŭ ŝanĝiĝas, sed la baza procezo estas la sama: blokado defaŭlte, difini servojn kaj grupojn, permesi de specifaj IP-adresoj kaj bloki la ceterajn.
Ene de la ekosistemo de TP-Link, multaj aparatoj estas implikitaj en entreprenaj retoj. Modeloj cititaj en la dokumentaro inkluzivas T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-105TS, SG41FTL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700-28TC, T3700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T370008 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQinteralie. Memoru, ke La oferto varias laŭ regiono. kaj kelkaj eble ne haveblas en via regiono.
Por resti ĝisdata, vizitu la subtenan paĝon de via produkto, elektu la ĝustan aparataran version, kaj kontrolu firmvaraj notoj kaj teknikaj specifoj kun la plej novaj plibonigoj. Iafoje ĝisdatigoj vastigas aŭ rafinas fajromuron, ACL-on aŭ funkciojn de malproksima administrado.
Fermu la SSH Por ĉiuj IP-adresoj krom specifaj, ĝusta organizado de ACL-oj kaj kompreno de kia mekanismo regas ĉiun aferon savas vin de malagrablaj surprizoj. Kun defaŭlta rifuzpolitiko, precizaj blankaj listoj, kaj regula konfirmoVia TP-Link-enkursigilo kaj la servoj malantaŭ ĝi estos multe pli bone protektitaj sen rezigni pri administrado kiam vi bezonos ĝin.
Pasiigita pri teknologio ekde li estis malgranda. Mi amas esti ĝisdatigita en la sektoro kaj ĉefe komuniki ĝin. Tial mi jam de multaj jaroj dediĉas min al komunikado en teknologiaj kaj videoludaj retejoj. Vi povas trovi min skribante pri Android, Vindozo, MacOS, iOS, Nintendo aŭ ajna alia rilata temo, kiu venas al la menso.