Como restrinxir o acceso SSH a un enrutador TP-Link a IPs de confianza

¿Como restrinxir o acceso SSH a un enrutador TP-Link a IPs de confianza? Controlar quen pode acceder á túa rede a través de SSH non é un capricho, é unha capa esencial de seguridade. Permitir o acceso só desde enderezos IP de confianza Reduce a superficie de ataque, ralentiza as análises automáticas e evita os intentos de intrusión constantes desde Internet.

Nesta guía práctica e completa verás como facelo en diferentes escenarios con equipos TP-Link (SMB e Omada), que debes ter en conta coas regras ACL e as listas brancas e como verificar que todo estea correctamente pechado. Integramos métodos adicionais como envoltorios TCP, iptables e as mellores prácticas. para que poidas protexer o teu entorno sen deixar cabos soltos.

Por que limitar o acceso SSH nos enrutadores TP-Link?

Expoñer SSH a internet abre a porta a inspeccións masivas por parte de bots xa curiosos con intencións maliciosas. Non é raro detectar o porto 22 accesible na WAN despois dunha análise, como se observou en [exemplos de SSH]. Fallos críticos nos routers TP-Link. Un simple comando nmap pódese usar para comprobar se o porto 22 do teu enderezo IP público está aberto.: executa algo así nunha máquina externa nmap -vvv -p 22 TU_IP_PUBLICA e comproba se aparece "abrir ssh".

Mesmo se usas claves públicas, deixar o porto 22 aberto invita a unha maior exploración, probas doutros portos e ataques a servizos de xestión. A solución é clara: denegar por defecto e activar só desde IPs ou rangos permitidos.Preferiblemente arranxado e controlado por vostede. Se non precisa xestión remota, desactívea completamente na WAN.

Ademais de expoñer os portos, hai situacións nas que se poden sospeitar cambios nas regras ou comportamentos anómalos (por exemplo, un módem de cable que comeza a "descartar" o tráfico de saída despois dun tempo). Se observas que o ping, o traceroute ou a navegación non pasan do módem, comproba a configuración, o firmware e considera restaurar a configuración de fábrica. e pecha todo o que non uses.

Modelo mental: bloquear por defecto e crear unha lista branca

A filosofía gañadora é sinxela: política de denegación predeterminada e excepcións explícitasEn moitos enrutadores TP-Link cunha interface avanzada, podes configurar unha política de entrada remota de tipo Drop no firewall e, a seguir, permitir enderezos específicos nunha lista branca para servizos de xestión.

En sistemas que inclúen as opcións "Política de entrada remota" e "Regras da lista branca" (nas páxinas Rede - Firewall), Incluír a marca na política de entrada remota E engade á lista branca os enderezos IP públicos en formato CIDR XXXX/XX que deberían poder acceder á configuración ou a servizos como SSH/Telnet/HTTP(S). Estas entradas poden incluír unha breve descrición para evitar confusións máis tarde.

É fundamental comprender a diferenza entre os mecanismos. O reenvío de portos (NAT/DNAT) redirixe os portos a máquinas LANMentres que as "Regras de filtrado" controlan o tráfico de WAN a LAN ou entre redes, as "Regras de lista branca" do cortafuegos rexen o acceso ao sistema de xestión do enrutador. As regras de filtrado non bloquean o acceso ao propio dispositivo; para iso, utilízanse listas brancas ou regras específicas con respecto ao tráfico entrante do enrutador.

Para acceder aos servizos internos, créase un mapeo de portos en NAT e logo limítase quen pode acceder a ese mapeo desde fóra. A receita é: abrir o porto necesario e logo restrinxilo con control de acceso. que só permite o paso das fontes autorizadas e bloquea o resto.

SSH desde IPs de confianza en TP-Link SMB (ER6120/ER8411 e similares)

Nos enrutadores SMB como o TL-ER6120 ou o ER8411, o patrón habitual para anunciar un servizo LAN (por exemplo, SSH nun servidor interno) e limitalo por IP de orixe é de dúas fases. Primeiro, o porto ábrese cun servidor virtual (NAT) e, a continuación, fíltrase con control de acceso. baseado en grupos IP e tipos de servizos.

Fase 1 – Servidor virtual: vaia a Avanzado → NAT → Servidor virtual e crea unha entrada para a interface WAN correspondente. Configura o porto externo 22 e apúntao ao enderezo IP interno do servidor (por exemplo, 192.168.0.2:22)Garda a regra para engadila á lista. Se o teu caso usa un porto diferente (por exemplo, se cambiaches SSH a 2222), axusta o valor segundo corresponda.

Fase 2 – Tipo de servizo: introducir Preferencias → Tipo de servizo, cree un novo servizo chamado, por exemplo, SSH, seleccione TCP ou TCP/UDP e define o porto de destino 22 (o rango de portos de orixe pode ser de 0 a 65535). Esta capa permitirache facer referencia ao porto de forma limpa na ACL.

Fase 3 – Grupo IP: ir a Preferencias → Grupo IP → Enderezo IP e engade entradas tanto para a fonte permitida (por exemplo, o teu IP público ou un rango chamado "Access_Client") como para o recurso de destino (por exemplo, "SSH_Server" co IP interno do servidor). Despois asocia cada enderezo co seu grupo IP correspondente dentro do mesmo menú.

Fase 4 – Control de acceso: en Cortafuegos → Control de acceso Crea dúas regras. 1) Permitir regra: Permitir política, servizo "SSH" recentemente definido, Orixe = grupo IP "Cliente_de_acceso" e destino = "Servidor_SSH". Déalle o ID 1. 2) Regra de bloqueo: Bloquear a política con orixe = IPGROUP_ANY e destino = "Servidor_SSH" (ou segundo corresponda) co ID 2. Deste xeito, só o IP ou o rango de confianza pasará polo NAT ao teu SSH; o resto estará bloqueado.

A orde de avaliación é fundamental. Os ID máis baixos teñen prioridadePolo tanto, a regra Permitir debe preceder (ID inferior) á regra Bloquear. Despois de aplicar os cambios, poderá conectarse ao enderezo IP WAN do enrutador no porto definido desde o enderezo IP permitido, pero as conexións doutras fontes estarán bloqueadas.

Notas sobre o modelo/firmware: A interface pode variar segundo o hardware e as versións. O TL-R600VPN require hardware v4 para cubrir certas funciónsE en diferentes sistemas, os menús poden estar reubicados. Aínda así, o fluxo é o mesmo: tipo de servizo → grupos IP → ACL con Permitir e Bloquear. Non esquezas gardar e aplicar para que as normas entren en vigor.

Verificación recomendada: Desde o enderezo IP autorizado, intente ssh usuario@IP_WAN e verificar o acceso. Desde outro enderezo IP, o porto debería volverse inaccesible. (conexión que non chega ou é rexeitada, idealmente sen banner para evitar dar pistas).

ACL con controlador Omada: listas, estados e exemplos de escenarios

Se xestionas pasarelas TP-Link con Omada Controller, a lóxica é similar pero con máis opcións visuais. Crear grupos (IP ou portos), definir ACL de pasarela e organizar as regras permitir o mínimo indispensable e negar todo o demais.

Listas e grupos: en Configuración → Perfis → Grupos Podes crear grupos de IP (subredes ou hosts, como 192.168.0.32/27 ou 192.168.30.100/32) e tamén grupos de portos (por exemplo, HTTP 80 e DNS 53). Estes grupos simplifican as regras complexas mediante a reutilización de obxectos.

ACL da pasarela: activada Configuración → Seguridade de rede → ACL Engade regras con dirección LAN→WAN, LAN→LAN ou WAN→LAN dependendo do que queiras protexer. A política para cada regra pode ser Permitir ou Denegar. e a orde determina o resultado real. Marca "Activar" para activalos. Algunhas versións permiten deixar as regras preparadas e desactivadas.

Casos útiles (adaptables a SSH): permitir só servizos específicos e bloquear o resto (por exemplo, Permitir DNS e HTTP e despois Denegar todo). Para as listas brancas de xestión, cree Permitir desde IP de confianza na "Páxina de administración da pasarela" e despois unha denegación xeral das outras redes. Se o teu firmware ten esa opción. bidireccionalPodes xerar automaticamente a regra inversa.

Estado da conexión: as ACL poden ter estado. Os tipos comúns son Novo, Establecido, Relacionado e Non válido"Novo" xestiona o primeiro paquete (por exemplo, SYN en TCP), "Establecido" xestiona o tráfico bidireccional atopado previamente, "Relacionado" xestiona as conexións dependentes (como os canais de datos FTP) e "Inválido" xestiona o tráfico anómalo. Xeralmente, é mellor manter a configuración predeterminada a non ser que precise granularidade adicional.

VLAN e segmentación: Compatibilidade con enrutadores Omada e SMB escenarios unidireccionais e bidireccionais entre VLANPodes bloquear Márketing→I+D pero permitir I+D→Márketing, ou bloquear ambas direccións e aínda así autorizar a un administrador específico. A dirección LAN→LAN na ACL úsase para controlar o tráfico entre subredes internas.

Métodos e reforzos adicionais: envoltorios TCP, iptables, MikroTik e cortafuegos clásico

Ademais das ACL do enrutador, hai outras capas que se deben aplicar, especialmente se o destino SSH é un servidor Linux detrás do enrutador. Os envoltorios TCP permiten filtrar por IP con hosts.allow e hosts.deny en servizos compatibles (incluíndo OpenSSH en moitas configuracións tradicionais).

Ficheiros de control: se non existen, créaos con sudo touch /etc/hosts.{allow,deny}. Boa práctica: denegar todo en hosts.deny e permíteo explicitamente en hosts.allow. Por exemplo: en /etc/hosts.deny pon sshd: ALL e /etc/hosts.allow engadir sshd: 203.0.113.10, 198.51.100.0/24Deste xeito, só eses enderezos IP poderán acceder ao daemon SSH do servidor.

Iptables personalizadas: se o teu enrutador ou servidor o permite, engade regras que só acepten SSH de fontes específicas. Unha regra típica sería: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT seguido dunha política DROP predeterminada ou unha regra que bloquea o resto. En enrutadores cunha lapela de Regras personalizadas Podes inxectar estas liñas e aplicalas con "Gardar e aplicar".

Boas prácticas en MikroTik (aplicables como guía xeral): cambiar os portos predeterminados se é posible, desactivar Telnet (usa só SSH), usa contrasinais fortes ou, mellor aínda, autenticación de claveLimita o acceso por enderezo IP usando o firewall, activa a autenticación en dous pasos se o dispositivo a admite e mantén o firmware/RouterOS actualizado. Desactiva o acceso á WAN se non o necesitasSupervisa os intentos fallidos e, se é necesario, aplica límites de velocidade de conexión para frear os ataques de forza bruta.

Interface TP-Link Classic (firmware antigo): Inicie sesión no panel usando o enderezo IP da LAN (predeterminado 192.168.1.1) e as credenciais de administrador e, a seguir, vaia a Seguridade → CortafuegosActiva o filtro IP e escolle que os paquetes non especificados sigan a política desexada. Despois, en Filtrado de enderezos IP, prema en "Engadir novo" e defina que IP poden ou non usar o porto de servizo na WAN (para SSH, 22/tcp). Garda cada paso. Isto permíteche aplicar unha denegación xeral e crear excepcións para permitir só IPs de confianza.

Bloquear IPs específicas con rutas estáticas

Nalgúns casos é útil bloquear a saída a IPs específicas para mellorar a estabilidade con certos servizos (como a transmisión en directo). Unha forma de facelo en varios dispositivos TP-Link é mediante o enrutamento estático., creando rutas /32 que eviten chegar a eses destinos ou as dirixan de tal xeito que non sexan consumidas pola ruta predeterminada (a compatibilidade varía segundo o firmware).

Modelos recentes: vai á lapela Avanzado → Rede → Enrutamento avanzado → Enrutamento estático e prema "+ Engadir". Introduza "Destino de rede" co enderezo IP que quere bloquear, "Máscara de subrede" 255.255.255.255, "Porta de enlace predeterminada" a porta de enlace LAN (normalmente 192.168.0.1) e "Interface" LAN. Selecciona "Permitir esta entrada" e gardaRepita para cada enderezo IP de destino dependendo do servizo que desexe controlar.

Firmwares máis antigos: vaia a Enrutamento avanzado → Lista de enrutamento estático, prema "Engadir novo" e complete os mesmos campos. Activar o estado da ruta e gardarConsulta co soporte do teu servizo para saber que enderezos IP debes tratar, xa que poden cambiar.

Verificación: Abre un terminal ou unha liña de comandos e proba con ping 8.8.8.8 (ou o enderezo IP de destino que bloqueaches). Se ves "Tempo de espera" ou "Host de destino inalcanzable"O bloqueo está a funcionar. Se non, revisa os pasos e reinicia o enrutador para que todas as táboas teñan efecto.

Verificación, probas e resolución de incidentes

Para verificar que a túa lista branca de SSH funciona, proba a usar un enderezo IP autorizado. ssh usuario@IP_WAN -p 22 (ou o porto que usas) e confirma o acceso. Desde un enderezo IP non autorizado, o porto non debería ofrecer servizo.. EUA nmap -p 22 IP_WAN para comprobar a condición de quente.

Se algo non responde como debería, comproba a prioridade da ACL. As regras procésanse secuencialmente e gañan as que teñan o ID máis baixo.Unha Denegación por riba de Permitir invalida a lista branca. Ademais, comproba que o "Tipo de servizo" apunta ao porto correcto e que os teus "Grupos IP" conteñen os intervalos axeitados.

En caso de comportamento sospeitoso (perda de conectividade despois dun tempo, regras que cambian por si soas, tráfico LAN que cae), teña en conta actualizar o firmwareDesactiva os servizos que non usas (administración remota web/Telnet/SSH), cambia as credenciais, comproba a clonación de MAC se corresponde e, en definitiva, Restaurar á configuración de fábrica e reconfigurar con configuracións mínimas e unha lista branca estrita.

Notas de compatibilidade, modelos e dispoñibilidade

A dispoñibilidade de funcionalidades (ACL con estado, perfís, listas brancas, edición de PVID en portos, etc.) Pode depender do modelo e da versión do hardwareNalgúns dispositivos, como o TL-R600VPN, certas funcionalidades só están dispoñibles a partir da versión 4. As interfaces de usuario tamén cambian, pero o proceso básico é o mesmo: bloqueo por defecto, definir servizos e grupos, permitir desde IPs específicas e bloquear o resto.

Dentro do ecosistema TP-Link, hai moitos dispositivos implicados nas redes empresariais. Os modelos citados na documentación inclúen T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, SG41FTL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700-28TC, T3700GTL-52TQ08 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQentre outros. Ten en conta que A oferta varía segundo a rexión. e pode que algúns non estean dispoñibles na túa zona.

Para manterse ao día, visite a páxina de soporte do seu produto, escolla a versión de hardware correcta e comprobe notas do firmware e especificacións técnicas coas últimas melloras. Ás veces, as actualizacións amplían ou refinan as funcións de cortafuegos, ACL ou xestión remota.

Pechar o SSH Para todos os enderezos IP, agás para algúns específicos, organizar axeitadamente as ACL e comprender que mecanismo controla cada cousa aforra sorpresas desagradables. Cunha política de denegación predeterminada, listas brancas precisas e verificación regularO teu enrutador TP-Link e os servizos que hai detrás estarán moito mellor protexidos sen renunciar á xestión cando a necesites.

Artigo relacionado:

TP-Link enfróntase a fallos críticos nos seus routers empresariais e a unha crecente presión reguladora

Cristian García

Apaixonado pola tecnoloxía dende pequeno. Encántame estar ao día no sector e, sobre todo, comunicalo. Por iso levo moitos anos dedicado á comunicación en webs de tecnoloxía e videoxogos. Podes atoparme escribindo sobre Android, Windows, MacOS, iOS, Nintendo ou calquera outro tema relacionado que se che ocorra.