- Tabhair tús áite do pholasaí diúltaithe réamhshocraithe agus bain úsáid as liostaí bána le haghaidh SSH.
- Comhcheanglaíonn NAT + ACL: osclaíonn sé an port agus cuireann sé teorainn leis de réir IP foinse.
- Fíoraigh le nmap/ping agus meas a bheith agat ar thosaíocht an riail (ID).
- Neartaigh le nuashonruithe, eochracha SSH, agus seirbhísí íosta.
¿Conas rochtain SSH ar ródaire TP-Link a shrianadh do IPanna iontaofa? Ní mian le duine rialú a dhéanamh ar cé a fhéadfaidh rochtain a fháil ar do líonra trí SSH, is ciseal riachtanach slándála é. Ceadaigh rochtain ó sheoltaí IP iontaofa amháin Laghdaíonn sé an dromchla ionsaithe, moillíonn sé scananna uathoibríocha, agus cuireann sé cosc ar iarrachtaí leanúnacha ionraidh ón Idirlíon.
Sa treoir phraiticiúil chuimsitheach seo, feicfidh tú conas é a dhéanamh i gcásanna éagsúla le trealamh TP-Link (SMB agus Omada), cad atá le breithniú maidir le rialacha ACL agus liostaí bána, agus conas a fhíorú go bhfuil gach rud dúnta i gceart. Comhtháthaímid modhanna breise ar nós Fillteáin TCP, iptables, agus dea-chleachtais. ionas gur féidir leat do thimpeallacht a dhaingniú gan aon rud a fhágáil gan réiteach.
Cén fáth rochtain SSH a theorannú ar ródairí TP-Link
Trí SSH a nochtadh don idirlíon, osclaítear an doras do scuabadh ollmhór ag róbait fiosracha cheana féin a bhfuil intinn mhailíseach acu. Ní neamhchoitianta port 22 atá inrochtana ar an WAN a bhrath tar éis scanadh, mar a breathnaíodh i [samplaí de SSH]. teipeanna criticiúla i ródairí TP-Link. Is féidir ordú simplí nmap a úsáid chun a sheiceáil an bhfuil port 22 oscailte ag do sheoladh IP poiblí.: déanann rud éigin mar seo a fhorghníomhú ar mheaisín seachtrach nmap -vvv -p 22 TU_IP_PUBLICA agus seiceáil an bhfuil "oscail ssh" le feiceáil.
Fiú má úsáideann tú eochracha poiblí, tugann fágáil port 22 oscailte cuireadh duit tuilleadh taiscéalaíochta a dhéanamh, calafoirt eile a thástáil, agus seirbhísí bainistíochta a ionsaí. Tá an réiteach soiléir: diúltaigh de réir réamhshocraithe agus cumasaigh ó IPanna nó raonta ceadaithe amháin.Más féidir é a shocrú agus a rialú agatsa. Mura bhfuil bainistíocht iargúlta ag teastáil uait, díchumasaigh go hiomlán é ar an WAN.
Chomh maith le calafoirt a nochtadh, bíonn cásanna ann inar féidir go mbeadh amhras ort faoi athruithe rialacha nó iompar neamhghnách (mar shampla, móideim cábla a thosaíonn ag "titim" tráchta amach tar éis tamaill). Má thugann tú faoi deara nach bhfuil ping, traceroute, ná brabhsáil ag dul thar an móideim, seiceáil na socruithe, an fhirmchlár, agus smaoinigh ar shocruithe monarchan a athbhunú. agus dún gach rud nach bhfuil tú ag úsáid.
Múnla meabhrach: blocáil de réir réamhshocraithe agus liosta bán a chruthú
Is simplí an fhealsúnacht bhuaiteach: polasaí diúltaithe réamhshocraithe agus eisceachtaí follasachaAr go leor ródairí TP-Link a bhfuil comhéadan ardleibhéil acu, is féidir leat polasaí iontrála cianda de chineál Drop a shocrú sa bhalla dóiteáin, agus ansin seoltaí sonracha a cheadú ar liosta bán le haghaidh seirbhísí bainistíochta.
Ar chórais a bhfuil roghanna "Polasaí Ionchuir Chianda" agus "Rialacha Liosta Bán" iontu (ar leathanaigh Líonra - Balla Dóiteáin), Lig do bhranda titim i mbeartas iontrála iargúlta Agus cuir leis an liosta bán na IPanna poiblí i bhformáid CIDR XXXX/XX ar cheart dóibh a bheith in ann teacht ar an chumraíocht nó ar sheirbhísí cosúil le SSH/Telnet/HTTP(S). Is féidir cur síos gairid a áireamh sna hiontrálacha seo chun mearbhall a sheachaint níos déanaí.
Tá sé ríthábhachtach an difríocht idir na meicníochtaí a thuiscint. Atreoraíonn atreorú calafoirt (NAT/DNAT) calafoirt chuig meaisíní LANCé go rialaíonn "Rialacha Scagtha" trácht WAN-go-LAN nó idirlíonra, rialaíonn "Rialacha Liosta Bán" an bhalla dóiteáin rochtain ar chóras bainistíochta an ródaire. Ní chuireann rialacha scagtha bac ar rochtain ar an bhfeiste féin; chuige sin, úsáideann tú liostaí bána nó rialacha sonracha maidir le trácht isteach chuig an ródaire.
Chun rochtain a fháil ar sheirbhísí inmheánacha, cruthaítear mapáil calafoirt i NAT agus ansin tá teorainn le cé a fhéadfaidh an mapáil sin a bhaint amach ón taobh amuigh. Seo an t-oideas: oscail an port riachtanach agus ansin srian a chur air le rialú rochtana. a ligeann do fhoinsí údaraithe amháin dul tríd agus a chuireann bac ar an gcuid eile.
SSH ó IPanna iontaofa ar TP-Link SMB (ER6120/ER8411 agus a leithéid)
I ródairí SMB ar nós TL-ER6120 nó ER8411, is patrún dhá chéim é an gnáthphatrún chun seirbhís LAN a fhógairt (e.g., SSH ar fhreastalaí inmheánach) agus í a theorannú de réir IP foinse. Ar dtús, osclaítear an port le Freastalaí Fíorúil (NAT), agus ansin déantar é a scagadh le Rialú Rochtana. bunaithe ar ghrúpaí IP agus cineálacha seirbhíse.
Céim 1 – Freastalaí Fíorúil: téigh go Ardleibhéal → NAT → Freastalaí Fíorúil agus cruthaíonn sé iontráil don chomhéadan WAN comhfhreagrach. Cumraigh port seachtrach 22 agus dírigh é chuig seoladh IP inmheánach an fhreastalaí (mar shampla, 192.168.0.2:22)Sábháil an riail chun í a chur leis an liosta. Má úsáideann do chás port difriúil (m.sh., má d'athraigh tú SSH go 2222), coigeartaigh an luach dá réir.
Céim 2 – Cineál seirbhíse: cuir isteach Roghanna → Cineál Seirbhíse, cruthaigh seirbhís nua ar a dtugtar, mar shampla, SSH, roghnaigh TCP nó TCP/UDP agus sainmhínigh an port ceann scríbe 22 (is féidir leis an raon port foinse a bheith idir 0–65535). Ligfidh an ciseal seo duit tagairt a dhéanamh don phort go glan san ACL.
Céim 3 – Grúpa IP: téigh go Roghanna → Grúpa IP → Seoladh IP agus cuir iontrálacha leis don fhoinse cheadaithe (m.sh. do IP poiblí nó raon darb ainm "Access_Client") agus don acmhainn ceann scríbe (m.sh. "SSH_Server" le IP inmheánach an fhreastalaí). Ansin ceangail gach seoladh lena Ghrúpa IP comhfhreagrach laistigh den roghchlár céanna.
Céim 4 – Rialú rochtana: isteach Balla Dóiteáin → Rialú Rochtana Cruthaigh dhá riail. 1) Rialach Ceadaigh: Polasaí ceadaigh, seirbhís "SSH" nua-shainithe, Foinse = grúpa IP "Access_Client" agus ceann scríbe = "SSH_Server"Tabhair ID 1 dó. 2) Riail Blocála: Polasaí blocála le foinse = IPGROUP_ANY agus ceann scríbe = "SSH_Server" (nó de réir mar is infheidhme) le ID 2. Ar an mbealach seo, ní rachaidh ach an IP nó an raon iontaofa tríd an NAT chuig do SSH; cuirfear bac ar an gcuid eile.
Tá ord na meastóireachta ríthábhachtach. Tugtar tús áite do na haitheantais níos ísleDá bhrí sin, ní mór don riail Ceadaigh teacht roimh (an riail ID níos ísle) an riail Blocála. Tar éis na hathruithe a chur i bhfeidhm, beidh tú in ann ceangal le seoladh IP WAN an ródaire ar an gcalafort sainithe ón seoladh IP ceadaithe, ach cuirfear bac ar naisc ó fhoinsí eile.
Nótaí maidir le samhail/firmware: D’fhéadfadh an comhéadan a bheith éagsúil idir crua-earraí agus leaganacha. Éilíonn TL-R600VPN crua-earraí v4 chun feidhmeanna áirithe a chlúdachAgus ar chórais éagsúla, féadfar na biachláir a bhogadh. Mar sin féin, tá an sreabhadh mar a chéile: cineál seirbhíse → grúpaí IP → ACL le Ceadaigh agus Blocáil. Ná déan dearmad shábháil agus iarratas a dhéanamh chun go dtiocfaidh na rialacha i bhfeidhm.
Fíorú molta: Ón seoladh IP údaraithe, déan iarracht ssh usuario@IP_WAN agus rochtain a fhíorú. Ó sheoladh IP eile, ba cheart go mbeadh an port neamh-inrochtana. (nasc nach dtagann nó a dhiúltaítear, gan meirge más féidir chun leideanna a sheachaint).
ACL le Rialaitheoir Omada: Liostaí, Stáit, agus Cásanna Samplacha
Má bhainistíonn tú geataí TP-Link le Rialaitheoir Omada, tá an loighic cosúil ach le níos mó roghanna amhairc. Cruthaigh grúpaí (IP nó calafoirt), sainmhínigh ACLanna geata, agus eagraigh na rialacha an t-íosmhéid a cheadú agus gach rud eile a dhiúltú.
Liostaí agus grúpaí: i Socruithe → Próifílí → Grúpaí Is féidir leat grúpaí IP (fo-líonraí nó óstaigh, amhail 192.168.0.32/27 nó 192.168.30.100/32) agus grúpaí calafoirt (mar shampla, HTTP 80 agus DNS 53) a chruthú freisin. Déanann na grúpaí seo rialacha casta a shimpliú trí rudaí a athúsáid.
ACL Geata: ar siúl Cumraíocht → Slándáil Líonra → ACL Cuir rialacha leis le treo LAN→WAN, LAN→LAN nó WAN→LAN ag brath ar a bhfuil tú ag iarraidh a chosaint. Is féidir leis an mbeartas do gach riail a bheith Ceadaigh nó Diúltaigh. agus is é an t-ord a chinneann an toradh iarbhír. Seiceáil "Cumasaigh" chun iad a ghníomhachtú. Ligeann roinnt leaganacha duit rialacha a fhágáil ullmhaithe agus díchumasaithe.
Cásanna úsáideacha (inoiriúnaithe do SSH): ní cheadaítear ach seirbhísí sonracha agus blocáiltear an chuid eile (e.g., Ceadaigh DNS agus HTTP agus ansin Diúltaigh Gach Rud). I gcás liostaí bána bainistíochta, cruthaigh Ceadaigh ó IPanna Iontaofa chuig an "Leathanach Riaracháin Geata" agus ansin diúltú ginearálta ó na líonraí eile. Má tá an rogha sin ag do fhirmchlár. DéthaobhachIs féidir leat an riail inbhéartach a ghiniúint go huathoibríoch.
Stádas naisc: Is féidir le ACLanna a bheith staidiúil. Is iad na cineálacha coitianta ná Nua, Bunaithe, Gaolmhar, agus NeamhbhailíLáimhseálann "Nua" an chéad phaicéad (m.sh., SYN i TCP), láimhseálann "Bunaithe" trácht déthreoch a bhí ann roimhe seo, láimhseálann "Gaolmhar" naisc spleácha (amhail bealaí sonraí FTP), agus láimhseálann "Neamhbhailí" trácht neamhghnách. Is fearr de ghnáth na socruithe réamhshocraithe a choinneáil mura bhfuil mionsonraí breise ag teastáil uait.
VLAN agus deighilt: tacaíocht do ródairí Omada agus SMB cásanna aontreocha agus déthreocha idir VLANannaIs féidir leat Margaíocht→T&F a bhac ach T&F→Margaíocht a cheadú, nó an dá threo a bhac agus riarthóir ar leith a údarú fós. Úsáidtear an treo LAN→LAN san ACL chun trácht idir fo-líonraí inmheánacha a rialú.
Modhanna agus athneartuithe breise: Fillteáin TCP, iptables, MikroTik agus balla dóiteáin clasaiceach
Chomh maith le ACLanna an ródaire, tá sraitheanna eile ann ba chóir a chur i bhfeidhm, go háirithe má tá an ceann scríbe SSH ina fhreastalaí Linux taobh thiar den ródaire. Ceadaíonn TCP Wrappers scagadh de réir IP le hosts.allow agus hosts.deny ar sheirbhísí comhoiriúnacha (lena n-áirítear OpenSSH i go leor cumraíochtaí traidisiúnta).
Comhaid rialaithe: mura bhfuil siad ann, cruthaigh iad le sudo touch /etc/hosts.{allow,deny}. Dea-chleachtas: diúltaigh gach rud i hosts.deny agus ceadaíonn sé go sainráite é i hosts.allow. Mar shampla: i /etc/hosts.deny pon sshd: ALL agus /etc/hosts.allow cuir leis sshd: 203.0.113.10, 198.51.100.0/24Dá bhrí sin, ní bheidh ach na IPanna sin in ann teacht ar daemon SSH an fhreastalaí.
Iptables saincheaptha: Má cheadaíonn do ródaire nó do fhreastalaí é, cuir rialacha leis nach nglacann ach le SSH ó fhoinsí sonracha. Bheadh riail tipiciúil ann: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT agus ina dhiaidh sin polasaí DROP réamhshocraithe nó riail a chuireann bac ar an gcuid eile. Ar ródairí le cluaisín de Rialacha saincheaptha Is féidir leat na línte seo a instealladh agus iad a chur i bhfeidhm le "Sábháil & Cuir i bhFeidhm".
Dea-chleachtais i MikroTik (infheidhme mar threoir ghinearálta): athraigh calafoirt réamhshocraithe más féidir, díghníomhachtaigh Telnet (bain úsáid as SSH amháin), bain úsáid as pasfhocail láidre nó, níos fearr fós, fíordheimhniú eochrachCuir teorainn le rochtain de réir seoladh IP ag baint úsáide as an mballa dóiteáin, cumasaigh 2FA má thacaíonn an gléas leis, agus coinnigh an firmware/RouterOS cothrom le dáta. Díchumasaigh rochtain WAN mura bhfuil sé de dhíth ortDéanann sé monatóireacht ar iarrachtaí nár éirigh leo agus, más gá, cuireann sé teorainneacha ráta nasc i bhfeidhm chun ionsaithe brúidiúla a chosc.
Comhéadan Clasaiceach TP-Link (Firmware Níos Sine): Logáil isteach sa phainéal ag baint úsáide as an seoladh IP LAN (réamhshocraithe 192.168.1.1) agus dintiúir riarthóra/admin, ansin téigh go Slándáil → Balla DóiteáinCumasaigh an scagaire IP agus roghnaigh go leanfaidh paicéid neamhshonraithe an polasaí atá ag teastáil. Ansin, i Scagadh Seoladh IP, brúigh "Cuir ceann nua leis" agus sainmhínigh cé na IPanna ar féidir leo nó nach féidir leo an port seirbhíse a úsáid ar an WAN (le haghaidh SSH, 22/tcp). Sábháil gach céim. Ligeann sé seo duit diúltú ginearálta a chur i bhfeidhm agus eisceachtaí a chruthú chun IPanna iontaofa amháin a cheadú.
Blocáil IPanna sonracha le bealaí statach
I gcásanna áirithe, bíonn sé úsáideach bac a chur ar sheirbhísí amach chuig IPanna sonracha chun cobhsaíocht a fheabhsú le seirbhísí áirithe (amhail sruthú). Bealach amháin chun seo a dhéanamh ar ilghléasanna TP-Link ná trí ródaíocht statach., ag cruthú bealaí /32 a sheachnaíonn na cinn scríbe sin a bhaint amach nó a threoraíonn iad ar bhealach nach ndéanann an bealach réamhshocraithe iad a ídiú (athraíonn an tacaíocht de réir firmware).
Samhlacha le déanaí: téigh go dtí an cluaisín Ardleibhéal → Líonra → Ródú Ardleibhéal → Ródú Statach agus brúigh "+ Cuir leis". Cuir isteach "Ceann Scríbe Líonra" leis an seoladh IP atá le blocáil, "Masc Fo-líonra" 255.255.255.255, "Geata Réamhshocraithe" an geata LAN (de ghnáth 192.168.0.1) agus "Comhéadan" LAN. Roghnaigh "Ceadaigh an iontráil seo" agus sábháilDéan arís é seo do gach seoladh IP sprice ag brath ar an tseirbhís is mian leat a rialú.
Firmware níos sine: téigh go Ródú ardleibhéil → Liosta ródaithe statach, brúigh "Cuir ceann nua leis" agus líon isteach na réimsí céanna. Gníomhachtaigh stádas an bhealaigh agus sábháilTéigh i gcomhairle le tacaíocht do sheirbhíse chun a fháil amach cé na IPanna le láimhseáil, mar d'fhéadfadh siad seo athrú.
Fíorú: Oscail críochfort nó pras ordaithe agus déan tástáil le ping 8.8.8.8 (nó an seoladh IP ceann scríbe atá blocáilte agat). Má fheiceann tú "Am críochnaithe" nó "Óstach ceann scríbe dodhéanta a bhaint amach"Tá an bac ag obair. Mura bhfuil, athbhreithnigh na céimeanna agus atosú an ródaire chun go dtiocfaidh na táblaí go léir i bhfeidhm.
Fíorú, tástáil agus réiteach teagmhas
Chun a fhíorú go bhfuil do liosta bán SSH ag obair, déan iarracht seoladh IP údaraithe a úsáid. ssh usuario@IP_WAN -p 22 (nó an port a úsáideann tú) agus deimhnigh rochtain. Ó sheoladh IP neamhúdaraithe, níor cheart don phort seirbhís a thairiscint.. SAM nmap -p 22 IP_WAN chun an riocht te a sheiceáil.
Mura bhfuil rud éigin ag freagairt mar ba chóir, seiceáil tosaíocht an ACL. Déantar na rialacha a phróiseáil go seicheamhach, agus buafaidh siad siúd a bhfuil an ID is ísle acu.Cuireann Diúltú os cionn do Cheadaigh an liosta bán ar neamhní. Chomh maith leis sin, seiceáil go bhfuil an "Cineál Seirbhíse" ag pointeáil chuig an gcalafort ceart agus go bhfuil na raonta cuí i do "Grúpaí IP".
I gcás iompair amhrasach (caillteanas nascachta tar éis tamaill, rialacha a athraíonn leo féin, trácht LAN a thiteann), smaoinigh ar an firmware a nuashonrúDíchumasaigh seirbhísí nach n-úsáideann tú (riarachán iargúlta gréasáin/Telnet/SSH), athraigh dintiúir, seiceáil clónáil MAC más infheidhme, agus sa deireadh, Athchóirigh go socruithe monarchan agus athchumraigh le socruithe íosta agus liosta bán dian.
Nótaí comhoiriúnachta, samhlacha agus infhaighteachta
Infhaighteacht gnéithe (ACLanna stáiteacha, próifílí, liostaí bána, eagarthóireacht PVID ar chalafoirt, srl.) D’fhéadfadh sé go mbraitheann sé ar mhúnla agus leagan na crua-earraíI roinnt gléasanna, amhail an TL-R600VPN, níl cumais áirithe ar fáil ach ó leagan 4 ar aghaidh. Athraíonn na comhéadain úsáideora freisin, ach tá an próiseas bunúsach mar a chéile: blocáil de réir réamhshocraithe, seirbhísí agus grúpaí a shainiú, cead a thabhairt ó IPanna sonracha agus an chuid eile a bhac.
Laistigh d'éiceachóras TP-Link, tá go leor gléasanna i líonraí fiontar. I measc na samhlacha a luaitear sa doiciméadacht tá T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, 2500G-10TS T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700QG-28TS T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T5412G-2008MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-52TQi measc rudaí eile. Coinnigh i gcuimhne go Athraíonn an tairiscint de réir réigiúin. agus b’fhéidir nach mbeidh cuid acu ar fáil i do cheantar.
Chun fanacht cothrom le dáta, tabhair cuairt ar leathanach tacaíochta do tháirge, roghnaigh an leagan crua-earraí ceart, agus seiceáil nótaí firmware agus sonraíochtaí teicniúla leis na feabhsuithe is déanaí. Uaireanta leathnaíonn nó feabhsaíonn nuashonruithe gnéithe balla dóiteáin, ACL, nó bainistíochta iargúlta.
Dún an SSH I gcás gach IP seachas IPanna sonracha, má eagraítear ACLanna i gceart agus má thuigtear cén mheicníocht a rialaíonn gach rud, sábhálann sé sin iontas míthaitneamhach duit. Le polasaí diúltaithe réamhshocraithe, liostaí bána beachta, agus fíorú rialtaBeidh do ródaire TP-Link agus na seirbhísí taobh thiar de i bhfad níos fearr faoi chosaint gan éirí as bainistíocht nuair is gá duit é.
Paiseanta faoin teicneolaíocht ó bhí sé beag. Is breá liom a bheith suas chun dáta san earnáil agus, thar aon rud eile, é a chur in iúl. Sin é an fáth go bhfuil mé tiomanta do chumarsáid ar láithreáin ghréasáin teicneolaíochta agus físchluichí le blianta fada. Is féidir leat mé a fháil ag scríobh faoi Android, Windows, MacOS, iOS, Nintendo nó aon ábhar gaolmhar eile a thagann chun cuimhne.