- Privilégiez une politique de refus par défaut et utilisez des listes blanches pour SSH.
- Combine NAT + ACL : ouvre le port et limite l'accès en fonction de l'adresse IP source.
- Vérifiez avec nmap/ping et respectez la priorité de la règle (ID).
- Renforcez votre sécurité grâce aux mises à jour, aux clés SSH et aux services minimums.
¿Comment limiter l'accès SSH à un routeur TP-Link aux adresses IP de confiance ? Contrôler qui peut accéder à votre réseau via SSH n'est pas un caprice, c'est une couche de sécurité essentielle. Autoriser l'accès uniquement à partir d'adresses IP de confiance Cela réduit la surface d'attaque, ralentit les analyses automatiques et empêche les tentatives d'intrusion constantes depuis Internet.
Ce guide pratique et complet vous montrera comment procéder dans différents scénarios avec les équipements TP-Link (SMB et Omada), ce qu'il faut prendre en compte concernant les règles ACL et les listes blanches, et comment vérifier que tout est correctement fermé. Nous intégrons des méthodes supplémentaires telles que TCP Wrappers, iptables et les meilleures pratiques. Vous pourrez ainsi sécuriser votre environnement sans laisser de traces.
Pourquoi limiter l'accès SSH sur les routeurs TP-Link ?
Exposer le protocole SSH à Internet ouvre la porte à des analyses massives menées par des robots déjà curieux et mal intentionnés. Il n'est pas rare de détecter l'accès au port 22 sur le WAN après une analyse, comme cela a été observé dans [exemples de SSH]. Défaillances critiques des routeurs TP-Link. Une simple commande nmap peut être utilisée pour vérifier si votre adresse IP publique a le port 22 ouvert.: exécute quelque chose comme ceci sur une machine externe nmap -vvv -p 22 TU_IP_PUBLICA et vérifiez si « open ssh » apparaît.
Même si vous utilisez des clés publiques, laisser le port 22 ouvert invite à des explorations supplémentaires, au test d'autres ports et à l'attaque des services de gestion. La solution est claire : refuser par défaut et autoriser uniquement à partir d’adresses IP ou de plages d’adresses IP autorisées.Idéalement, cette fonction devrait être fixe et contrôlée par vos soins. Si vous n'avez pas besoin de gestion à distance, désactivez-la complètement sur le réseau étendu (WAN).
Outre l'exposition des ports, il existe des situations où vous pourriez soupçonner des changements de règles ou un comportement anormal (par exemple, un modem câble qui commence à « interrompre » le trafic sortant au bout d'un certain temps). Si vous constatez que les commandes ping, traceroute ou de navigation ne parviennent pas à dépasser le modem, vérifiez les paramètres, le micrologiciel et envisagez de restaurer les paramètres d'usine. et fermez tout ce que vous n'utilisez pas.
Modèle mental : bloquer par défaut et créer une liste blanche
La philosophie gagnante est simple : politique de refus par défaut et exceptions explicitesSur de nombreux routeurs TP-Link dotés d'une interface avancée, vous pouvez configurer une politique d'entrée distante de type Drop dans le pare-feu, puis autoriser des adresses spécifiques sur une liste blanche pour les services de gestion.
Sur les systèmes qui incluent les options « Politique de saisie à distance » et « Règles de liste blanche » (sur les pages Réseau - Pare-feu), Abandon de la marque dans la politique d'accès à distance Ajoutez à la liste blanche les adresses IP publiques au format CIDR XXXX/XX qui devraient pouvoir accéder à la configuration ou aux services tels que SSH/Telnet/HTTP(S). Ces entrées peuvent inclure une brève description pour éviter toute confusion ultérieure.
Il est crucial de comprendre la différence entre les mécanismes. La redirection de ports (NAT/DNAT) redirige les ports vers les machines du réseau local.Alors que les « règles de filtrage » contrôlent le trafic WAN-LAN ou inter-réseaux, les « règles de liste blanche » du pare-feu régissent l'accès au système d'administration du routeur. Les règles de filtrage ne bloquent pas l'accès au routeur lui-même ; pour cela, vous utilisez des listes blanches ou des règles spécifiques concernant le trafic entrant.
Pour accéder aux services internes, un mappage de ports est créé dans le NAT, puis l'accès à ce mappage depuis l'extérieur est limité. La recette est la suivante : ouvrir le port nécessaire puis le restreindre à l’aide d’un contrôle d’accès. qui autorise uniquement le passage des sources autorisées et bloque les autres.
Connexion SSH depuis des adresses IP de confiance sur TP-Link SMB (ER6120/ER8411 et similaires)
Dans les routeurs SMB tels que le TL-ER6120 ou l'ER8411, le modèle habituel pour annoncer un service LAN (par exemple, SSH sur un serveur interne) et le limiter par adresse IP source est en deux phases. Tout d'abord, le port est ouvert avec un serveur virtuel (NAT), puis il est filtré avec un contrôle d'accès. basé sur les groupes d'adresses IP et les types de services.
Phase 1 – Serveur virtuel : allez à Avancé → NAT → Serveur virtuel et crée une entrée pour l'interface WAN correspondante. Configurez le port externe 22 et faites-le pointer vers l'adresse IP interne du serveur (par exemple, 192.168.0.2:22).Enregistrez la règle pour l'ajouter à la liste. Si votre cas utilise un port différent (par exemple, si vous avez changé le port SSH pour le port 2222), ajustez la valeur en conséquence.
Phase 2 – Type de service : entrer Préférences → Type de service, créez un nouveau service appelé, par exemple, SSH, sélectionnez TCP ou TCP/UDP et définissez le port de destination 22 (la plage du port source peut être de 0 à 65535). Cette couche vous permettra de référencer le port proprement dans la liste de contrôle d'accès (ACL)..
Phase 3 – Groupe IP : aller à Préférences → Groupe d'adresses IP → Adresse IP et ajoutez des entrées pour la source autorisée (par exemple, votre adresse IP publique ou une plage, nommée « Access_Client ») et la ressource de destination (par exemple, « SSH_Server » avec l'adresse IP interne du serveur). Associez ensuite chaque adresse à son groupe IP correspondant. dans le même menu.
Phase 4 – Contrôle d'accès : dans Pare-feu → Contrôle d'accès Créez deux règles. 1) Règle d'autorisation : autoriser la stratégie, le service « SSH » nouvellement défini, Source = groupe d'adresses IP « Access_Client » et destination = « SSH_Server »Attribuez-lui l'ID 1. 2) Règle de blocage : Stratégie de blocage avec source = IPGROUP_ANY et destination = « SSH_Server » (ou le cas échéant) avec l'ID 2. De cette façon, seule l'adresse IP ou la plage d'adresses IP de confiance passera par le NAT pour accéder à votre SSH ; le reste sera bloqué.
L'ordre d'évaluation est primordial. Les identifiants les plus bas sont prioritairesPar conséquent, la règle d'autorisation doit précéder (ID inférieur) la règle de blocage. Après application des modifications, vous pourrez vous connecter à l'adresse IP WAN du routeur sur le port défini depuis l'adresse IP autorisée, mais les connexions provenant d'autres sources seront bloquées.
Remarques concernant le modèle/micrologiciel : L’interface peut varier selon le matériel et les versions. Le TL-R600VPN nécessite le matériel v4 pour prendre en charge certaines fonctions.Sur différents systèmes, l'emplacement des menus peut varier. Cependant, le flux reste le même : type de service → groupes d'adresses IP → liste de contrôle d'accès (ACL) avec autorisation et blocage. N'oubliez pas ! enregistrer et appliquer pour que les règles entrent en vigueur.
Vérification recommandée : depuis l’adresse IP autorisée, essayez ssh usuario@IP_WAN et vérifier l'accès. Depuis une autre adresse IP, le port devrait devenir inaccessible. (connexion qui n'arrive pas ou qui est rejetée, idéalement sans bannière pour éviter de donner des indices).
ACL avec le contrôleur Omada : listes, états et exemples de scénarios
Si vous gérez des passerelles TP-Link avec Omada Controller, la logique est similaire mais avec davantage d'options visuelles. Créez des groupes (adresses IP ou ports), définissez des listes de contrôle d'accès (ACL) pour les passerelles et organisez les règles. Autoriser le strict minimum et refuser tout le reste.
Listes et groupes : dans Paramètres → Profils → Groupes Vous pouvez créer des groupes d'adresses IP (sous-réseaux ou hôtes, tels que 192.168.0.32/27 ou 192.168.30.100/32) ainsi que des groupes de ports (par exemple, HTTP 80 et DNS 53). Ces groupes simplifient les règles complexes. en réutilisant des objets.
Liste de contrôle d'accès de passerelle : activée Configuration → Sécurité réseau → ACL Ajoutez des règles avec une direction LAN→WAN, LAN→LAN ou WAN→LAN selon ce que vous souhaitez protéger. La politique associée à chaque règle peut être « Autoriser » ou « Refuser ». L'ordre des règles détermine le résultat. Cochez « Activer » pour les activer. Certaines versions permettent de laisser des règles configurées et désactivées.
Cas utiles (adaptables à SSH) : autoriser uniquement certains services et bloquer les autres (par exemple, autoriser DNS et HTTP puis tout refuser). Pour les listes blanches de gestion, créez une autorisation à partir des adresses IP de confiance vers la « Page d'administration de la passerelle ». et ensuite un refus général des autres réseaux, si votre firmware le permet. BidirectionnelVous pouvez générer automatiquement la règle inverse.
État de la connexion : les ACL peuvent avoir un état. Les types les plus courants sont : Nouveau, Établi, Associé et Invalide« Nouveau » gère le premier paquet (par exemple, SYN en TCP), « Établi » gère le trafic bidirectionnel déjà rencontré, « Associé » gère les connexions dépendantes (telles que les canaux de données FTP) et « Invalide » gère le trafic anormal. Il est généralement préférable de conserver les paramètres par défaut, sauf si vous avez besoin d'une granularité plus fine.
VLAN et segmentation : prise en charge des routeurs Omada et SMB Scénarios unidirectionnels et bidirectionnels entre VLANVous pouvez bloquer le trafic Marketing → R&D tout en autorisant le trafic R&D → Marketing, ou bloquer les deux sens tout en autorisant un administrateur spécifique. Le sens LAN → LAN dans la liste de contrôle d'accès (ACL) permet de contrôler le trafic entre les sous-réseaux internes.
Méthodes et renforcements supplémentaires : TCP Wrappers, iptables, MikroTik et pare-feu classique
Outre les ACL du routeur, d'autres couches doivent être appliquées, notamment si la destination SSH est un serveur Linux situé derrière le routeur. TCP Wrappers permet le filtrage par adresse IP avec hosts.allow et hosts.deny sur les services compatibles (y compris OpenSSH dans de nombreuses configurations traditionnelles).
Fichiers de contrôle : s’ils n’existent pas, créez-les avec sudo touch /etc/hosts.{allow,deny}. Meilleure pratique : tout refuser dans hosts.deny et l'autorise explicitement dans hosts.allow. Par exemple : dans /etc/hosts.deny pon sshd: ALL et en /etc/hosts.allow ajouter sshd: 203.0.113.10, 198.51.100.0/24Ainsi, seules ces adresses IP pourront accéder au démon SSH du serveur.
Règles iptables personnalisées : si votre routeur ou serveur le permet, ajoutez des règles qui n’acceptent les connexions SSH que depuis des sources spécifiques. Une règle typique serait: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT suivi d'une politique DROP par défaut ou d'une règle bloquant le reste. Sur les routeurs dotés d'un onglet de Règles personnalisées Vous pouvez injecter ces lignes et les appliquer avec « Enregistrer et appliquer ».
Bonnes pratiques chez MikroTik (applicables à titre de guide général) : modifier les ports par défaut si possible, désactiver Telnet (utilisez uniquement SSH), utilisez des mots de passe forts ou, mieux encore, authentification par cléLimitez l'accès par adresse IP à l'aide du pare-feu, activez l'authentification à deux facteurs si l'appareil la prend en charge et maintenez le micrologiciel/RouterOS à jour. Désactivez l'accès WAN si vous n'en avez pas besoin.Il surveille les tentatives infructueuses et, si nécessaire, applique des limites de débit de connexion pour freiner les attaques par force brute.
Interface TP-Link Classic (micrologiciel ancien) : Connectez-vous au panneau à l’aide de l’adresse IP du réseau local (par défaut 192.168.1.1) et des identifiants admin/admin, puis accédez à Sécurité → Pare-feuActivez le filtre IP et choisissez que les paquets non spécifiés suivent la politique souhaitée. Ensuite, dans Filtrage des adresses IP, appuyez sur « Ajouter » et définissez quelles adresses IP peuvent ou ne peuvent pas utiliser le port de service Sur le WAN (pour SSH, port 22/tcp), enregistrez chaque étape. Cela vous permet d'appliquer un refus général et de créer des exceptions pour autoriser uniquement les adresses IP de confiance.
Bloquer des adresses IP spécifiques avec des routes statiques
Dans certains cas, il est utile de bloquer le trafic sortant vers des adresses IP spécifiques afin d'améliorer la stabilité de certains services (comme le streaming). Une façon de procéder sur plusieurs appareils TP-Link consiste à utiliser le routage statique., en créant des routes /32 qui évitent d'atteindre ces destinations ou les dirigent de telle sorte qu'elles ne soient pas consommées par la route par défaut (la prise en charge varie selon le firmware).
Modèles récents : allez à l’onglet Avancé → Réseau → Routage avancé → Routage statique et appuyez sur « + Ajouter ». Saisissez « Destination réseau » avec l’adresse IP à bloquer, « Masque de sous-réseau » 255.255.255.255, « Passerelle par défaut » la passerelle LAN (généralement 192.168.0.1) et « Interface » LAN. Sélectionnez « Autoriser cette entrée » et enregistrez.Répétez l'opération pour chaque adresse IP cible en fonction du service que vous souhaitez contrôler.
Firmwares plus anciens : allez à Routage avancé → Liste de routage statique, cliquez sur « Ajouter » et remplissez les mêmes champs. Activer le statut de l'itinéraire et enregistrerConsultez le support de votre service pour savoir quelles adresses IP traiter, car celles-ci peuvent changer.
Vérification : Ouvrez un terminal ou une invite de commandes et testez avec ping 8.8.8.8 (ou l'adresse IP de destination que vous avez bloquée). Si vous voyez « Délai d'attente dépassé » ou « Hôte de destination inaccessible »,Le blocage fonctionne. Sinon, veuillez vérifier les étapes et redémarrer le routeur pour que toutes les modifications soient prises en compte.
Vérification, tests et résolution des incidents
Pour vérifier que votre liste blanche SSH fonctionne, essayez d'utiliser une adresse IP autorisée. ssh usuario@IP_WAN -p 22 (ou le port que vous utilisez) et confirmez l'accès. Le port ne devrait pas offrir de service à partir d'une adresse IP non autorisée.. Les usages nmap -p 22 IP_WAN vérifier l'état de la température.
Si un élément ne répond pas comme prévu, vérifiez la priorité de la liste de contrôle d'accès (ACL). Les règles sont traitées séquentiellement, et celles qui ont l'identifiant le plus bas gagnent.Une règle « Refuser » au-dessus d'une règle « Autoriser » invalide la liste blanche. Vérifiez également que le « Type de service » pointe vers le port correct et que vos « Groupes d'adresses IP » contiennent les plages appropriées.
En cas de comportement suspect (perte de connexion après un certain temps, règles qui changent d'elles-mêmes, baisse du trafic LAN), envisager mettre à jour le firmwareDésactivez les services que vous n'utilisez pas (administration web/Telnet/SSH à distance), modifiez les identifiants, vérifiez le clonage MAC le cas échéant et, enfin, Restaurez les paramètres d'usine et reconfigurez avec des paramètres minimaux et une liste blanche stricte..
Compatibilité, modèles et disponibilité
La disponibilité des fonctionnalités (ACL dynamiques, profils, listes blanches, modification du PVID sur les ports, etc.) Cela peut dépendre du modèle et de la version du matériel.Sur certains appareils, comme le TL-R600VPN, certaines fonctionnalités ne sont disponibles qu'à partir de la version 4. Les interfaces utilisateur changent également, mais le processus de base reste le même : blocage par défaut, définir les services et les groupes, autoriser les connexions provenant d'adresses IP spécifiques et bloquer les autres.
L'écosystème TP-Link comprend de nombreux appareils utilisés dans les réseaux d'entreprise. Parmi les modèles cités dans la documentation, on trouve : T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQentre autres. Gardez à l'esprit que L'offre varie selon la région. et certains peuvent ne pas être disponibles dans votre région.
Pour rester à jour, consultez la page d'assistance de votre produit, choisissez la version matérielle appropriée et vérifiez. Notes de mise à jour du firmware et spécifications techniques avec les dernières améliorations. Les mises à jour peuvent parfois étendre ou affiner les fonctionnalités du pare-feu, des listes de contrôle d'accès ou de la gestion à distance.
Fermez le SSH Pour toutes les adresses IP, sauf certaines spécifiques, une organisation correcte des ACL et la compréhension du mécanisme qui contrôle chaque élément vous éviteront de mauvaises surprises. Avec une politique de refus par défaut, des listes blanches précises et une vérification régulièreVotre routeur TP-Link et les services associés seront bien mieux protégés sans que vous ayez à renoncer à la gestion lorsque vous en avez besoin.
Passionné de technologie depuis qu'il est petit. J'aime être à jour dans le secteur et surtout le communiquer. C'est pourquoi je me consacre à la communication sur les sites de technologie et de jeux vidéo depuis de nombreuses années. Vous pouvez me trouver en train d'écrire sur Android, Windows, MacOS, iOS, Nintendo ou tout autre sujet connexe qui me vient à l'esprit.