- Dajte prioritet zadanoj politici odbijanja i koristite bijele liste za SSH.
- Kombinira NAT + ACL: otvara port i ograničava prema izvornoj IP adresi.
- Provjerite s nmap/pingom i poštujte prioritet pravila (ID).
- Ojačajte ažuriranjima, SSH ključevima i minimalnim uslugama.
¿Kako ograničiti SSH pristup TP-Link ruteru na pouzdane IP adrese? Kontroliranje tko može pristupiti vašoj mreži putem SSH-a nije hir, već bitan sloj sigurnosti. Dopusti pristup samo s pouzdanih IP adresa Smanjuje površinu napada, usporava automatsko skeniranje i sprječava stalne pokušaje upada s interneta.
U ovom praktičnom i sveobuhvatnom vodiču vidjet ćete kako to učiniti u različitim scenarijima s TP-Link opremom (SMB i Omada), što uzeti u obzir kod ACL pravila i bijelih lista te kako provjeriti je li sve ispravno zatvoreno. Integriramo dodatne metode kao što su TCP Wrappers, iptables i najbolje prakse tako da možete osigurati svoj okoliš bez ostavljanja ikakvih nedovršenih poslova.
Zašto ograničiti SSH pristup na TP-Link ruterima
Izlaganje SSH-a internetu otvara vrata masovnim pretraživanjima od strane već znatiželjnih botova sa zlonamjernim namjerama. Nije neuobičajeno otkriti port 22 dostupan na WAN-u nakon skeniranja, kao što je uočeno u [primjerima SSH-a]. kritični kvarovi na TP-Link ruterima. Jednostavna nmap naredba može se koristiti za provjeru ima li vaša javna IP adresa otvoren port 22.: izvršava nešto slično na vanjskom računalu nmap -vvv -p 22 TU_IP_PUBLICA i provjerite pojavljuje li se "otvori ssh".
Čak i ako koristite javne ključeve, ostavljanje porta 22 otvorenim potiče daljnja istraživanja, testiranje drugih portova i napad na servise upravljanja. Rješenje je jasno: zabraniti prema zadanim postavkama i omogućiti samo s dopuštenih IP adresa ili raspona.Po mogućnosti da vi sami to popravite i kontrolirate. Ako vam daljinsko upravljanje nije potrebno, potpuno ga onemogućite na WAN-u.
Osim otkrivanja portova, postoje situacije u kojima možete posumnjati na promjene pravila ili anomalno ponašanje (na primjer, kabelski modem koji nakon nekog vremena počinje "ispuštati" odlazni promet). Ako primijetite da ping, traceroute ili pregledavanje ne prolaze pored modema, provjerite postavke, firmver i razmislite o vraćanju na tvorničke postavke. i zatvorite sve što ne koristite.
Mentalni model: blokiranje prema zadanim postavkama i stvaranje bijele liste
Pobjednička filozofija je jednostavna: zadana politika odbijanja i eksplicitne iznimkeNa mnogim TP-Link usmjerivačima s naprednim sučeljem možete postaviti politiku udaljenog ulaza tipa Drop u vatrozidu, a zatim dopustiti određene adrese na bijeloj listi za usluge upravljanja.
Na sustavima koji uključuju opcije "Pravila daljinskog unosa" i "Pravila bijele liste" (na stranicama Mreža - Zaštitni zid), Izbacivanje robne marke iz pravila o udaljenom ulasku I dodajte na bijelu listu javne IP adrese u CIDR formatu XXXX/XX koje bi trebale moći dosegnuti konfiguraciju ili usluge poput SSH/Telnet/HTTP(S). Ovi unosi mogu uključivati kratak opis kako bi se kasnije izbjegla zabuna.
Ključno je razumjeti razliku između mehanizama. Prosljeđivanje portova (NAT/DNAT) preusmjerava portove na LAN računalaDok "Pravila filtriranja" kontroliraju WAN-LAN ili međumrežni promet, "Pravila bijele liste" vatrozida upravljaju pristupom sustavu upravljanja usmjerivača. Pravila filtriranja ne blokiraju pristup samom uređaju; za to se koriste bijele liste ili posebna pravila u vezi s dolaznim prometom na usmjerivač.
Za pristup internim uslugama, mapiranje portova se stvara u NAT-u, a zatim se ograničava tko može pristupiti tom mapiranju izvana. Recept je: otvorite potreban port, a zatim ga ograničite kontrolom pristupa. koji dopušta prolaz samo ovlaštenim izvorima, a ostale blokira.
SSH s pouzdanih IP adresa na TP-Link SMB-u (ER6120/ER8411 i slični)
U SMB usmjerivačima kao što su TL-ER6120 ili ER8411, uobičajeni obrazac za oglašavanje LAN usluge (npr. SSH na internom poslužitelju) i ograničavanje prema izvornoj IP adresi je dvofazni. Prvo se port otvara pomoću virtualnog poslužitelja (NAT), a zatim se filtrira pomoću kontrole pristupa. na temelju IP grupa i vrsta usluga.
Faza 1 – Virtualni poslužitelj: idite na Napredno → NAT → Virtualni poslužitelj i stvara unos za odgovarajuće WAN sučelje. Konfigurirajte vanjski port 22 i usmjerite ga na internu IP adresu poslužitelja (na primjer, 192.168.0.2:22)Spremite pravilo da biste ga dodali na popis. Ako vaš slučaj koristi drugi port (npr. promijenili ste SSH na 2222), prilagodite vrijednost u skladu s tim.
Faza 2 – Vrsta usluge: unesite Postavke → Vrsta usluge, stvorite novu uslugu pod nazivom, na primjer, SSH, odaberite TCP ili TCP/UDP i definirajte odredišni port 22 (raspon izvorišnog porta može biti od 0 do 65535). Ovaj sloj će vam omogućiti čisto referenciranje porta u ACL-u..
Faza 3 – IP grupa: idite na Postavke → IP grupa → IP adresa i dodajte unose za dopušteni izvor (npr. vašu javnu IP adresu ili raspon pod nazivom "Access_Client") i odredišni resurs (npr. "SSH_Server" s internom IP adresom poslužitelja). Zatim svaku adresu povežite s odgovarajućom IP grupom unutar istog izbornika.
Faza 4 – Kontrola pristupa: unutra Vatrozid → Kontrola pristupa Izradite dva pravila. 1) Dopusti pravilo: Dopusti pravilo, novo definiranu uslugu "SSH", Izvor = IP grupa "Access_Client" i odredište = "SSH_Server"Dajte mu ID 1. 2) Pravilo blokiranja: Pravilo blokiranja s izvor = IPGROUP_ANY i odredište = "SSH_Server" (ili prema potrebi) s ID-om 2. Na taj će način samo pouzdana IP adresa ili raspon proći kroz NAT do vašeg SSH-a; ostatak će biti blokiran.
Redoslijed ocjenjivanja je ključan. Niži ID-ovi imaju prioritetStoga pravilo Dopusti mora prethoditi (imati niži ID) pravilu Blokiraj. Nakon primjene promjena, moći ćete se spojiti na WAN IP adresu usmjerivača na definiranom portu s dopuštene IP adrese, ali veze iz drugih izvora bit će blokirane.
Napomene o modelu/firmveru: Sučelje se može razlikovati ovisno o hardveru i verziji. TL-R600VPN zahtijeva hardver v4 za pokrivanje određenih funkcijaI na različitim sustavima, izbornici se mogu premjestiti. Unatoč tome, tijek je isti: vrsta usluge → IP grupe → ACL s Dopusti i Blokiraj. Ne zaboravite spremiti i primijeniti da bi pravila stupila na snagu.
Preporučena provjera: S ovlaštene IP adrese pokušajte ssh usuario@IP_WAN i potvrditi pristup. S druge IP adrese, port bi trebao postati nedostupan. (veza koja ne stigne ili je odbijena, idealno bez banera kako bi se izbjeglo davanje tragova).
ACL s Omada kontrolerom: Popisi, stanja i primjeri scenarija
Ako upravljate TP-Link gateway uređajima pomoću Omada Controllera, logika je slična, ali s više vizualnih opcija. Stvorite grupe (IP ili portove), definirajte ACL-ove pristupnika i organizirajte pravila dopustiti samo minimum i zanijekati sve ostalo.
Popisi i grupe: u Postavke → Profili → Grupe Možete stvoriti IP grupe (podmreže ili hostove, kao što su 192.168.0.32/27 ili 192.168.30.100/32) i također grupe portova (na primjer, HTTP 80 i DNS 53). Ove grupe pojednostavljuju složena pravila ponovnom upotrebom predmeta.
ACL pristupnika: uključen Konfiguracija → Mrežna sigurnost → ACL Dodajte pravila s LAN→WAN, LAN→LAN ili WAN→LAN smjerom, ovisno o tome što želite zaštititi. Pravilo za svako pravilo može biti Dopusti ili Zabrani. i redoslijed određuje stvarni rezultat. Označite "Omogući" da biste ih aktivirali. Neke verzije vam omogućuju da ostavite pravila pripremljena i onemogućena.
Korisni slučajevi (prilagodljivi SSH-u): dopustite samo određene usluge i blokirajte ostale (npr. Dopustite DNS i HTTP, a zatim Zabranite sve). Za bijele liste upravljanja, stvorite Dopusti s pouzdanih IP adresa na "Stranici za administraciju pristupnika" a zatim opće odbijanje od strane ostalih mreža. Ako vaš firmware ima tu opciju. DvosmjernoMožete automatski generirati inverzno pravilo.
Status veze: ACL-ovi mogu imati stanje. Uobičajene vrste su Novo, Utvrđeno, Povezano i Nevažeće"Novo" obrađuje prvi paket (npr. SYN u TCP-u), "Utvrđeno" obrađuje prethodno pronađeni dvosmjerni promet, "Povezano" obrađuje ovisne veze (kao što su FTP podatkovni kanali), a "Nevažeće" obrađuje anomalni promet. Općenito je najbolje zadržati zadane postavke osim ako vam nije potrebna dodatna granularnost.
VLAN i segmentacija: podrška za Omada i SMB usmjerivače jednosmjerni i dvosmjerni scenariji između VLAN-ovaMožete blokirati Marketing→R&D, ali dopustiti R&D→Marketing ili blokirati oba smjera i dalje autorizirati određenog administratora. Smjer LAN→LAN u ACL-u koristi se za kontrolu prometa između internih podmreža.
Dodatne metode i pojačanja: TCP Wrappers, iptables, MikroTik i klasični firewall
Uz ACL-ove usmjerivača, postoje i drugi slojevi koje treba primijeniti, posebno ako je SSH odredište Linux poslužitelj iza usmjerivača. TCP Wrappers omogućuje filtriranje po IP-u s hosts.allow i hosts.deny na kompatibilnim uslugama (uključujući OpenSSH u mnogim tradicionalnim konfiguracijama).
Kontrolne datoteke: ako ne postoje, stvorite ih pomoću sudo touch /etc/hosts.{allow,deny}. Najbolja praksa: zabrani sve u hosts.deny i izričito to dopušta u hosts.allow. Na primjer: u /etc/hosts.deny PON sshd: ALL i /etc/hosts.allow dodaje sshd: 203.0.113.10, 198.51.100.0/24Dakle, samo će te IP adrese moći dosegnuti SSH daemon poslužitelja.
Prilagođene iptables datoteke: Ako vaš usmjerivač ili poslužitelj to dopušta, dodajte pravila koja prihvaćaju SSH samo iz određenih izvora. Tipično pravilo bi bilo: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT nakon čega slijedi zadana DROP politika ili pravilo koje blokira ostatak. Na usmjerivačima s karticom Prilagođena pravila Ove linije možete ubrizgati i primijeniti ih pomoću opcije "Spremi i primijeni".
Najbolje prakse u MikroTiku (primjenjivo kao opći vodič): promijenite zadane portove ako je izvedivo, deaktivirati Telnet (koristite samo SSH), koristite jake lozinke ili, još bolje, autentifikacija ključaOgraničite pristup prema IP adresi pomoću vatrozida, omogućite 2FA ako ga uređaj podržava i ažurirajte firmware/RouterOS. Onemogućite WAN pristup ako vam nije potrebanPrati neuspješne pokušaje i, ako je potrebno, primjenjuje ograničenja brzine povezivanja kako bi suzbio napade grubom silom.
TP-Link Classic sučelje (stariji firmware): Prijavite se na panel pomoću LAN IP adrese (zadano 192.168.1.1) i administratorskih vjerodajnica, a zatim idite na Sigurnost → VatrozidOmogućite IP filter i odaberite da se za neodređene pakete primjenjuje željena politika. Zatim, u Filtriranje IP adresa, pritisnite "Dodaj novo" i definirajte koje IP adrese mogu ili ne mogu koristiti servisni port na WAN-u (za SSH, 22/tcp). Spremite svaki korak. To vam omogućuje primjenu općeg odbijanja i stvaranje iznimki kako biste dopustili samo pouzdane IP adrese.
Blokirajte određene IP adrese statičkim rutama
U nekim slučajevima korisno je blokirati odlazne poruke na određene IP adrese kako bi se poboljšala stabilnost s određenim uslugama (kao što je streaming). Jedan od načina da se to učini na više TP-Link uređaja je putem statičkog usmjeravanja., stvarajući /32 rute koje izbjegavaju dosezanje tih odredišta ili ih usmjeravaju na takav način da ih ne troši zadana ruta (podrška varira ovisno o firmveru).
Nedavni modeli: idite na karticu Napredno → Mreža → Napredno usmjeravanje → Statičko usmjeravanje i pritisnite "+ Dodaj". Unesite "Mrežno odredište" s IP adresom koju želite blokirati, "Masku podmreže" 255.255.255.255, "Zadani pristupnik" LAN pristupnik (obično 192.168.0.1) i "Sučelje" LAN. Odaberite "Dopusti ovaj unos" i spremitePonovite za svaku ciljnu IP adresu ovisno o usluzi koju želite kontrolirati.
Stariji firmwarei: idite na Napredno usmjeravanje → Statički popis usmjeravanja, pritisnite "Dodaj novo" i ispunite ista polja. Aktivirajte status rute i spremiteObratite se podršci svoje usluge kako biste saznali koje IP adrese treba tretirati, jer se one mogu promijeniti.
Provjera: Otvorite terminal ili naredbeni redak i testirajte s ping 8.8.8.8 (ili odredišnu IP adresu koju ste blokirali). Ako vidite "Vrijeme je isteklo" ili "Odredišni host nije dostupan"Blokiranje radi. Ako ne, pregledajte korake i ponovno pokrenite usmjerivač kako bi sve tablice stupile na snagu.
Verifikacija, testiranje i rješavanje incidenata
Da biste provjerili radi li vaša SSH bijela lista, pokušajte upotrijebiti ovlaštenu IP adresu. ssh usuario@IP_WAN -p 22 (ili port koji koristite) i potvrdite pristup. S neovlaštene IP adrese, port ne bi trebao nuditi uslugu.. SAD nmap -p 22 IP_WAN provjeriti vruće stanje.
Ako nešto ne reagira kako bi trebalo, provjerite prioritet ACL-a. Pravila se obrađuju sekvencijalno, a pobjeđuju ona s najnižim ID-om.Stavka "Odbij" iznad vaše opcije "Dopusti" poništava bijelu listu. Također provjerite pokazuje li "Vrsta usluge" na ispravan port i sadrže li vaše "IP grupe" odgovarajuće raspone.
U slučaju sumnjivog ponašanja (gubitak povezivosti nakon nekog vremena, pravila koja se sama mijenjaju, pad LAN prometa), razmislite ažurirajte softverOnemogućite usluge koje ne koristite (udaljena web/Telnet/SSH administracija), promijenite vjerodajnice, provjerite kloniranje MAC adresa ako je primjenjivo i na kraju, Vratite na tvorničke postavke i ponovno konfigurirajte s minimalnim postavkama i strogom bijelom listom.
Napomene o kompatibilnosti, modelima i dostupnosti
Dostupnost značajki (ACL-ovi s pouzdanim stanjem, profili, bijele liste, uređivanje PVID-a na portovima itd.) Može ovisiti o modelu i verziji hardveraU nekim uređajima, kao što je TL-R600VPN, određene mogućnosti dostupne su tek od verzije 4 nadalje. Korisnička sučelja se također mijenjaju, ali osnovni postupak je isti: blokiranje prema zadanim postavkama, definirati usluge i grupe, dopusti s određenih IP adresa i blokiraj ostale.
Unutar TP-Link ekosustava, mnogi uređaji su uključeni u poslovne mreže. Modeli navedeni u dokumentaciji uključuju T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQizmeđu ostalog. Imajte na umu da Ponuda varira ovisno o regiji. a neki možda nisu dostupni u vašem području.
Za ažurirane informacije posjetite stranicu za podršku za svoj proizvod, odaberite ispravnu verziju hardvera i provjerite napomene o firmveru i tehničke specifikacije s najnovijim poboljšanjima. Ponekad ažuriranja proširuju ili poboljšavaju značajke vatrozida, ACL-a ili daljinskog upravljanja.
Zatvorite SSH Za sve osim određenih IP adresa, pravilno organiziranje ACL-ova i razumijevanje koji mehanizam kontrolira svaku stvar spašava vas od neugodnih iznenađenja. S zadanim pravilima odbijanja, preciznim bijelim listama i redovitom provjeromVaš TP-Link ruter i usluge iza njega bit će puno bolje zaštićeni bez odustajanja od upravljanja kada vam je to potrebno.
Od malih nogu zaljubljenik u tehnologiju. Volim biti u tijeku u sektoru i, iznad svega, komunicirati ga. Zato sam godinama posvećen komunikaciji na web stranicama o tehnologiji i video igrama. Možete me naći kako pišem o Androidu, Windowsu, MacOS-u, iOS-u, Nintendu ili bilo kojoj drugoj srodnoj temi koja vam padne na pamet.