- Jou prioriteit oan in standert wegeringbelied en brûk witelisten foar SSH.
- Kombinearret NAT + ACL: iepenet de poarte en beheint it troch boarne-IP.
- Ferifiearje mei nmap/ping en respektearje de regelprioriteit (ID).
- Fersterkje mei updates, SSH-kaaien en minimale tsjinsten.
¿Hoe kinne jo SSH-tagong ta in TP-Link-router beheine ta fertroude IP-adressen? Kontrolearje wa't tagong hat ta jo netwurk fia SSH is gjin gril, it is in essensjele laach fan feiligens. Allinnich tagong tastean fan fertroude IP-adressen It ferminderet it oanfalsoppervlak, fertraget automatyske scans en foarkomt konstante ynbraakpogingen fan it ynternet.
Yn dizze praktyske en wiidweidige hantlieding sille jo sjen hoe't jo it dwaan kinne yn ferskate senario's mei TP-Link-apparaten (SMB en Omada), wêr't jo rekken mei hâlde moatte mei ACL-regels en witelisten, en hoe't jo ferifiearje kinne dat alles goed sluten is. Wy yntegrearje ekstra metoaden lykas TCP Wrappers, iptables en bêste praktiken sadat jo jo omjouwing feilich kinne hâlde sûnder losse einen efter te litten.
Wêrom SSH-tagong beheine op TP-Link-routers
SSH bleatstelle oan it ynternet iepenet de doar foar massale sweeps troch al nijsgjirrige bots mei kweade bedoelingen. It is net ûngewoan om poarte 22 te detektearjen dy't tagonklik is op it WAN nei in scan, lykas waarnommen is yn [foarbylden fan SSH]. krityske flaters yn TP-Link routers. In ienfâldich nmap-kommando kin brûkt wurde om te kontrolearjen oft jo iepenbiere IP-adres poarte 22 iepen hat.: fiert soksawat út op in eksterne masine nmap -vvv -p 22 TU_IP_PUBLICA en kontrolearje oft "iepen ssh" ferskynt.
Sels as jo iepenbiere kaaien brûke, noeget it iepen litten fan poarte 22 út ta fierdere ferkenning, it testen fan oare poarten en it oanfallen fan beheartsjinsten. De oplossing is dúdlik: standert wegerje en allinich ynskeakelje fan tastiene IP's of beriken.Leafst fêst en troch jo kontrolearre. As jo gjin behear op ôfstân nedich binne, skeakelje it dan folslein út op it WAN.
Neist it bleatstellen fan poarten binne der situaasjes wêr't jo regelwizigingen of abnormaal gedrach fermoedzje kinne (bygelyks in kabelmodem dat nei in skoftke útgeande ferkear begjint te "fallen". As jo merke dat ping, traceroute of blêdzjen net foarby de modem komme, kontrolearje dan de ynstellings, firmware en beskôgje it weromsetten fan fabryksynstellingen. en slút alles wat jo net brûke.
Mentaal model: standert blokkearje en in wite list oanmeitsje
De winnende filosofy is ienfâldich: standert wegeringbelied en eksplisite útsûnderingsOp in protte TP-Link-routers mei in avansearre ynterface kinne jo in Drop-type belied foar yngong op ôfstân ynstelle yn 'e firewall, en dan spesifike adressen tastean op in wite list foar beheartsjinsten.
Op systemen dy't opsjes "Remote Input Policy" en "Whitelist rules" befetsje (op Netwurk - Firewall-siden), Lit merk falle yn belied foar yngong op ôfstân En foegje oan 'e wite list de iepenbiere IP's ta yn CIDR-formaat XXXX/XX dy't de konfiguraasje of tsjinsten lykas SSH/Telnet/HTTP(S) berikke moatte kinne. Dizze yngongen kinne in koarte beskriuwing befetsje om letter betizing te foarkommen.
It is wichtich om it ferskil tusken meganismen te begripen. Port forwarding (NAT/DNAT) ferwiist poarten nei LAN-masinesWylst "Filterregels" WAN-nei-LAN- of ynternetwurkferkear kontrolearje, regelje de "Whitelist-regels" fan 'e firewall tagong ta it behearsysteem fan 'e router. Filterregels blokkearje gjin tagong ta it apparaat sels; dêrfoar brûke jo witelisten of spesifike regels oangeande ynkommende ferkear nei de router.
Om tagong te krijen ta ynterne tsjinsten wurdt poartemapping oanmakke yn NAT en dan is it beheind wa't dy mapping fan bûten berikke kin. It resept is: iepenje de nedige poarte en beheine it dan mei tagongskontrôle. dat allinich autorisearre boarnen trochlitte lit en de rest blokkearret.
SSH fan fertroude IP's op TP-Link SMB (ER6120/ER8411 en ferlykber)
Yn SMB-routers lykas TL-ER6120 of ER8411 is it gewoane patroan foar it advertearjen fan in LAN-tsjinst (bygelyks SSH op in ynterne server) en it beheinen troch boarne-IP twa-faze. Earst wurdt de poarte iepene mei in Firtuele Tsjinner (NAT), en dan wurdt it filtere mei Tagongskontrôle. basearre op IP-groepen en tsjinsttypen.
Faze 1 – Firtuele tsjinner: gean nei Avansearre → NAT → Firtuele tsjinner en makket in yngong foar de oerienkommende WAN-ynterface. Konfigurearje eksterne poarte 22 en wiis it nei it ynterne IP-adres fan 'e server (bygelyks 192.168.0.2:22)Bewarje de regel om it ta te foegjen oan de list. As jo gefal in oare poarte brûkt (bygelyks, jo hawwe SSH feroare nei 2222), pas dan de wearde oan.
Fase 2 – Tsjinsttype: ynfiere Foarkarren → Tsjinsttype, meitsje in nije tsjinst oan mei de namme, bygelyks SSH, selektearje TCP of TCP/UDP en definiearje de bestimmingspoarte 22 (it berik fan 'e boarnepoarte kin 0–65535 wêze). Dizze laach sil jo tastean om skjin nei de poarte te ferwizen yn 'e ACL.
Faze 3 – IP-groep: gean nei Foarkarren → IP-groep → IP-adres en foegje yngongen ta foar sawol de tastiene boarne (bygelyks jo iepenbiere IP of in berik, mei de namme "Access_Client") as de bestimmingsboarne (bygelyks "SSH_Server" mei it ynterne IP-adres fan 'e server). Ferbine dan elk adres mei de oerienkommende IP-groep binnen itselde menu.
Faze 4 – Tagongskontrôle: yn Firewall → Tagongskontrôle Meitsje twa regels. 1) Regel tastean: Belied tastean, nij definiearre "SSH"-tsjinst, Boarne = IP-groep "Access_Client" en bestimming = "SSH_Server". Jou it ID 1. 2) Blokkearringsregel: Blokkearringsbelied mei boarne = IPGROUP_ANY en bestimming = "SSH_Server" (of as fan tapassing) mei ID 2. Op dizze manier sil allinich it fertroude IP-adres of berik fia de NAT nei jo SSH gean; de rest sil blokkearre wurde.
De folchoarder fan evaluaasje is essinsjeel. Legere ID's krije prioriteitDêrom moat de Allow-regel foarôfgean (legere ID) oan de Block-regel. Nei it tapassen fan de feroarings kinne jo ferbine mei it WAN IP-adres fan 'e router op' e definieare poarte fan it tastiene IP-adres, mar ferbiningen fan oare boarnen wurde blokkearre.
Model-/firmware-opmerkings: De ynterface kin ferskille tusken hardware en ferzjes. TL-R600VPN fereasket hardware v4 om bepaalde funksjes te dekkenEn op ferskillende systemen kinne de menu's ferpleatst wurde. Dochs is de stream itselde: tsjinsttype → IP-groepen → ACL mei Tastean en Blokkearje. Ferjit net bewarje en tapasse foar de regels om yn wurking te kommen.
Oanrikkemandearre ferifikaasje: Besykje fan it autorisearre IP-adres ssh usuario@IP_WAN en tagong ferifiearje. Fan in oar IP-adres moat de poarte net tagonklik wurde. (ferbining dy't net oankomt of ôfwiisd wurdt, ideaal sûnder in banner om gjin oanwizings te jaan).
ACL mei Omada Controller: Listen, steaten en foarbyldscenario's
As jo TP-Link-gateways beheare mei Omada Controller, is de logika fergelykber, mar mei mear fisuele opsjes. Meitsje groepen (IP of poarten), definiearje gateway ACL's, en organisearje de regels om it absolute minimum ta te stean en alles oars te ûntkennen.
Listen en groepen: yn Ynstellings → Profilen → Groepen Jo kinne IP-groepen oanmeitsje (subnetten of hosts, lykas 192.168.0.32/27 of 192.168.30.100/32) en ek poartegroepen (bygelyks HTTP 80 en DNS 53). Dizze groepen ferienfâldigje komplekse regels troch it opnij brûken fan objekten.
Gateway ACL: oan Konfiguraasje → Netwurkfeiligens → ACL Foegje regels ta mei LAN→WAN, LAN→LAN of WAN→LAN-rjochting, ôfhinklik fan wat jo beskermje wolle. It belied foar elke regel kin Tastean of Wegerje wêze. en de folchoarder bepaalt it werklike resultaat. Selektearje "Ynskeakelje" om se te aktivearjen. Guon ferzjes tastean jo regels taret en útskeakele te litten.
Nuttige gefallen (oanpasber oan SSH): allinich spesifike tsjinsten tastean en de rest blokkearje (bygelyks, DNS en HTTP tastean en dan Alles wegerje). Foar witelisten foar behear, meitsje Tastean fan fertroude IP's nei de "Gateway-behearside" en dan in algemiene wegering fan 'e oare netwurken. As jo firmware dy opsje hat. BidireccionalJo kinne automatysk de omkearde regel generearje.
Ferbiningsstatus: ACL's kinne steatsfol wêze. De gewoane typen binne Nij, Fêstige, Besibbe en Unjildich"Nij" behannelet it earste pakket (bygelyks SYN yn TCP), "Fêstige" behannelet earder tsjinkommen bidireksjoneel ferkear, "Besibbe" behannelet ôfhinklike ferbiningen (lykas FTP-gegevenskanalen), en "Unjildich" behannelet anomaal ferkear. It is oer it algemien it bêste om de standertynstellingen te behâlden, útsein as jo ekstra granulariteit nedich binne.
VLAN en segmintaasje: stipe foar Omada- en SMB-routers unidireksjonele en bidireksjonele senario's tusken VLAN'sJo kinne Marketing→R&D blokkearje, mar R&D→Marketing tastean, of beide rjochtingen blokkearje en noch in spesifike behearder autorisearje. De LAN→LAN-rjochting yn 'e ACL wurdt brûkt om ferkear tusken ynterne subnetten te kontrolearjen.
Oanfoljende metoaden en fersterkingen: TCP Wrappers, iptables, MikroTik en klassike firewall
Neist de ACL's fan 'e router binne d'r oare lagen dy't tapast wurde moatte, foaral as de SSH-bestimming in Linux-tsjinner efter de router is. TCP Wrappers makket filterjen mooglik op IP mei hosts.allow en hosts.deny op kompatible tsjinsten (ynklusyf OpenSSH yn in protte tradisjonele konfiguraasjes).
Kontrôlebestannen: as se net besteane, meitsje se dan oan mei sudo touch /etc/hosts.{allow,deny}. Bêste praktyk: alles yn hosts.deny wegerje en lit it eksplisyt ta yn hosts.allow. Bygelyks: yn /etc/hosts.deny pon sshd: ALL en yn /etc/hosts.allow eine sshd: 203.0.113.10, 198.51.100.0/24Sa kinne allinich dy IP-adressen de SSH-daemon fan 'e server berikke.
Oanpaste iptables: As jo router of server it talit, foegje regels ta dy't allinich SSH fan spesifike boarnen akseptearje. In typyske regel soe wêze: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT folge troch in standert DROP-belied of in regel dy't de rest blokkearret. Op routers mei in tab fan Custom rules Jo kinne dizze rigels ynjeksje en tapasse mei "Bewarje en tapasse".
Bêste praktiken yn MikroTik (fan tapassing as in algemiene hantlieding): feroarje standertpoarten as it mooglik is, Telnet deaktivearje (brûk allinnich SSH), brûk sterke wachtwurden of, noch better, kaai-autentikaasjeBeheine tagong fia IP-adres mei de firewall, ynskeakelje 2FA as it apparaat it stipet, en hâld de firmware/RouterOS bywurke. Skeakelje WAN-tagong út as jo it net nedich binneIt kontrolearret mislearre pogingen en past, as it nedich is, ferbiningssnelheidsgrinzen ta om brute-force-oanfallen te beheinen.
TP-Link Classic Interface (âldere firmware): Meld jo oan by it paniel mei it LAN IP-adres (standert 192.168.1.1) en admin/admin-gegevens, gean dan nei Feiligens → FirewallSkeakelje it IP-filter yn en kies derfoar dat net-spesifisearre pakketten it winske belied folgje. Dan, yn IP-adresfiltering, druk op "Nij tafoegje" en definiearje hokker IP's de tsjinstpoarte wol of net brûke kinne op it WAN (foar SSH, 22/tcp). Bewarje elke stap. Hjirmei kinne jo in algemiene wegering tapasse en útsûnderingen meitsje om allinich fertroude IP's ta te stean.
Blokkearje spesifike IP's mei statyske rûtes
Yn guon gefallen is it nuttich om útgeande ferbiningen nei spesifike IP-adressen te blokkearjen om de stabiliteit mei bepaalde tsjinsten (lykas streaming) te ferbetterjen. Ien manier om dit te dwaan op meardere TP-Link-apparaten is fia statyske routing., it meitsjen fan /32-rûtes dy't foarkomme dat dy bestimmingen berikt wurde of se sa rjochtsje dat se net brûkt wurde troch de standertrûte (stipe ferskilt per firmware).
Resinte modellen: gean nei it ljepblêd Avansearre → Netwurk → Avansearre routing → Statyske routing en druk op "+ Tafoegje". Fier "Netwurkbestimming" yn mei it IP-adres om te blokkearjen, "Subnetmasker" 255.255.255.255, "Standertgateway" de LAN-gateway (meastal 192.168.0.1) en "Ynterface" LAN. Selektearje "Dizze yngong tastean" en bewarjeWerhelje dit foar elk doel-IP-adres, ôfhinklik fan de tsjinst dy't jo kontrolearje wolle.
Aldere firmwares: gean nei Avansearre routing → Statyske routinglist, druk op "Nij tafoegje" en folje deselde fjilden yn. Rûtestatus aktivearje en opslaanRieplachtsje de stipe fan jo tsjinst om út te finen hokker IP's jo behannelje moatte, om't dizze kinne feroarje.
Ferifikaasje: Iepenje in terminal of kommandorigel en test mei ping 8.8.8.8 (of it bestimmings-IP-adres dat jo blokkearre hawwe). As jo "Timeout" of "Destination host unreachable" sjoggeDe blokkearring wurket. As dat net sa is, kontrolearje dan de stappen en start de router opnij op, sadat alle tabellen fan krêft wurde.
Ferifikaasje, testen en ynsidintoplossing
Om te ferifiearjen dat jo SSH-witelist wurket, besykje in autorisearre IP-adres te brûken. ssh usuario@IP_WAN -p 22 (of de poarte dy't jo brûke) en befêstigje tagong. Fan in net-autorisearre IP-adres moat de poarte gjin tsjinst oanbiede.. Usa nmap -p 22 IP_WAN om de waarme tastân te kontrolearjen.
As der wat net reagearret sa't it moat, kontrolearje dan de ACL-prioriteit. De regels wurde sekwinsjeel ferwurke, en dyjingen mei de leechste ID winne.In "Wegerje" boppe jo "Tastean" makket de wite list ûnjildich. Kontrolearje ek dat it "Tsjinsttype" nei de juste poarte wiist en dat jo "IP-groepen" de juste beriken befetsje.
Yn gefal fan fertocht gedrach (ferlies fan ferbining nei in skoftke, regels dy't fansels feroarje, LAN-ferkear dat sakket), beskôgje de firmware bywurkjeSkeakel tsjinsten út dy't jo net brûke (eksterne web-/Telnet-/SSH-behear), feroarje ynloggegevens, kontrolearje MAC-kloning as fan tapassing, en úteinlik, Weromsette nei fabryksynstellingen en opnij konfigurearje mei minimale ynstellings en in strange wite list.
Kompatibiliteit, modellen en beskikberensnotysjes
De beskikberens fan funksjes (stateful ACL's, profilen, whitelists, PVID-bewurking op poarten, ensfh.) It kin ôfhingje fan it hardwaremodel en de ferzjeYn guon apparaten, lykas de TL-R600VPN, binne bepaalde mooglikheden allinich beskikber fan ferzje 4 ôf. De brûkersynterfaces feroarje ek, mar it basisproses is itselde: standert blokkearje, definiearje tsjinsten en groepen, tastean fan spesifike IP's en blokkearje de rest.
Binnen it TP-Link-ekosysteem binne der in soad apparaten dy't belutsen binne by bedriuwsnetwurken. Modellen dy't yn 'e dokumintaasje neamd wurde omfetsje T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG2210P T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T527000G0, T527000G0 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQûnder oaren. Hâld der rekken mei dat It oanbod ferskilt per regio. en guon binne miskien net beskikber yn jo gebiet.
Om op 'e hichte te bliuwen, besykje de stipeside fan jo produkt, kies de juste hardwareferzje en kontrolearje firmware-notysjes en technyske spesifikaasjes mei de lêste ferbetteringen. Soms wreidzje of ferfine updates firewall-, ACL- of behearfunksjes op ôfstân út.
Slút de SSH Foar alle útsein spesifike IP's, besparret it goed organisearjen fan ACL's en it begripen fan hokker meganisme elk ding kontrolearret jo ûnnoflike ferrassingen. Mei in standert wegeringbelied, krekte witelisten en regelmjittige ferifikaasjeDyn TP-Link-router en de tsjinsten derachter sille folle better beskerme wurde sûnder behear op te jaan as jo it nedich binne.
Hertstochtlik oer technology sûnt hy lyts wie. Ik hâld fan op 'e hichte te wêzen yn' e sektor en boppe alles, it kommunisearjen. Dêrom bin ik in protte jierren wijd oan kommunikaasje op websides foar technology en fideospultsjes. Jo kinne my fine skriuwe oer Android, Windows, MacOS, iOS, Nintendo of in oar relatearre ûnderwerp dat yn 't sin komt.