Kijan pou limite aksè SSH nan yon routeur TP-Link pou IP ou fè konfyans yo

¿Kijan pou limite aksè SSH nan yon routeur TP-Link pou IP ou fè konfyans? Kontwole ki moun ki ka jwenn aksè nan rezo ou a atravè SSH se pa yon kapris, se yon kouch sekirite esansyèl. Pèmèt aksè sèlman nan adrès IP ou fè konfyans Li diminye sifas atak la, ralanti eskan otomatik yo, epi anpeche tantativ entrizyon konstan soti nan Entènèt la.

Nan gid pratik ak konplè sa a, ou pral wè kijan pou fè li nan diferan senaryo ak ekipman TP-Link (SMB ak Omada), sa pou konsidere ak règ ACL ak lis blan, epi kijan pou verifye ke tout bagay byen fèmen. Nou entegre metòd adisyonèl tankou TCP Wrappers, iptables, ak pi bon pratik yo. konsa ou ka pwoteje anviwònman ou san ou pa kite okenn detay ki lach.

Poukisa limite aksè SSH sou routeurs TP-Link yo

Ekspoze SSH sou entènèt la ouvè pòt pou gwo eskanè pa robo ki deja kirye ak move entansyon. Li pa estraòdinè pou detekte pò 22 aksesib sou WAN an apre yon eskan, jan yo te obsève nan [egzanp SSH]. echèk kritik nan routeurs TP-Link yo. Ou ka itilize yon senp kòmand nmap pou tcheke si pò 22 nan adrès IP piblik ou a ouvè.: egzekite yon bagay konsa sou yon machin ekstèn nmap -vvv -p 22 TU_IP_PUBLICA epi tcheke si "open ssh" parèt.

Menm si w ap itilize kle piblik, kite pò 22 ouvè envite plis eksplorasyon, teste lòt pò, epi atake sèvis jesyon yo. Solisyon an klè: refize pa default epi aktive sèlman nan adrès IP oswa seri adrès otorize yo.Li pi bon pou ou fikse l epi kontwole l. Si ou pa bezwen jesyon a distans, dezaktive l nèt sou WAN an.

Anplis ekspoze pò yo, gen sitiyasyon kote ou ka sispèk chanjman règ oswa konpòtman anomali (pa egzanp, yon modem kab ki kòmanse "lage" trafik sortan apre yon ti tan). Si ou remake ke ping, traceroute, oswa browsing pa rive pase modèm nan, tcheke paramèt yo, firmwèr la, epi konsidere retabli paramèt faktori yo. epi fèmen tout sa ou pa itilize.

Modèl mantal: bloke pa default epi kreye yon lis blan

Filozofi viktwa a senp: règleman refi pa defo ak eksepsyon eksplisitSou anpil routeurs TP-Link ki gen yon koòdone avanse, ou ka mete yon règleman antre a distans tip Drop nan pare-feu a, epi answit pèmèt adrès espesifik sou yon lis blan pou sèvis jesyon yo.

Sou sistèm ki gen opsyon "Règleman Antre Adistans" ak "Règleman Lis Blan" (sou paj Rezo - Pare-feu), Mete mak la nan règleman antre a distans Epi ajoute nan lis blan an adrès IP piblik yo nan fòma CIDR XXXX/XX ki ta dwe kapab rive nan konfigirasyon an oswa sèvis tankou SSH/Telnet/HTTP(S). Antre sa yo ka gen ladan yon ti deskripsyon pou evite konfizyon pita.

Li enpòtan pou konprann diferans ki genyen ant mekanis yo. Redireksyon pò (NAT/DNAT) redireksyon pò yo sou machin LAN yoPandan ke "Règ filtraj" yo kontwole trafik WAN-a-LAN oswa ant rezo, "Règ lis blan" pare-feu a gouvène aksè nan sistèm jesyon routeur la. Règ filtraj yo pa bloke aksè nan aparèy la li menm; pou sa, ou itilize lis blan oswa règ espesifik konsènan trafik k ap antre nan routeur la.

Pou jwenn aksè nan sèvis entèn yo, yo kreye yon map pò nan NAT epi apre sa yo limite moun ki ka jwenn aksè nan map pò sa a soti deyò. Resèt la se: ouvri pò ki nesesè a epi limite li ak kontwòl aksè. ki pèmèt sèlman sous otorize yo pase epi bloke rès la.

SSH apati adrès IP ou fè konfyans sou TP-Link SMB (ER6120/ER8411 ak menm jan an)

Nan routeurs SMB tankou TL-ER6120 oswa ER8411, modèl abityèl pou pibliye yon sèvis LAN (pa egzanp, SSH sou yon sèvè entèn) epi limite li pa IP sous la se de faz. Premyèman, yo louvri pò a ak yon sèvè vityèl (NAT), epi answit yo filtre li ak kontwòl aksè. ki baze sou gwoup IP ak kalite sèvis yo.

Faz 1 – Sèvè Vityèl: ale nan Avanse → NAT → Sèvè Vityèl epi kreye yon antre pou koòdone WAN ki koresponn lan. Konfigire pò ekstèn 22 a epi dirije l sou adrès IP entèn sèvè a (pa egzanp, 192.168.0.2:22)Sove règ la pou ajoute l nan lis la. Si ka w la itilize yon lòt pò (pa egzanp, ou chanje SSH an 2222), ajiste valè a kòmsadwa.

Faz 2 – Kalite sèvis: antre Preferans → Kalite Sèvis, kreye yon nouvo sèvis ki rele, pa egzanp, SSH, chwazi TCP oubyen TCP/UDP epi defini pò destinasyon 22 a (ranje pò sous la ka ant 0 ak 65535). Kouch sa a ap pèmèt ou fè referans a pò a pwòpman nan ACL la..

Faz 3 – Gwoup IP: ale nan Preferans → Gwoup IP → Adrès IP epi ajoute antre pou tou de sous otorize a (pa egzanp, IP piblik ou a oswa yon seri adrès, ki rele "Access_Client") ak resous destinasyon an (pa egzanp "SSH_Server" ak IP entèn sèvè a). Apre sa, asosye chak adrès ak gwoup IP ki koresponn lan. nan menm meni an.

Faz 4 – Kontwòl aksè: anndan Pare-feu → Kontwòl Aksè Kreye de règ. 1) Règ Otorize: Règ otorize, sèvis "SSH" ki fèk defini, Sous = gwoup IP "Access_Client" ak destinasyon = "SSH_Server"Ba li ID 1. 2) Règ Blokaj: Bloke règleman ak sous = IPGROUP_ANY ak destinasyon = "SSH_Server" (oswa jan sa aplikab) ak ID 2. Nan fason sa a, se sèlman IP oswa seri adrès ou fè konfyans lan ki pral pase nan NAT la pou ale nan SSH ou a; rès la pral bloke.

Lòd evalyasyon an enpòtan anpil. ID ki pi ba yo gen priyoriteSe poutèt sa, règ Otorize a dwe vin anvan (ID ki pi ba a) règ Bloke a. Apre ou fin aplike chanjman yo, ou pral kapab konekte ak adrès IP WAN routeur la sou pò ki defini a apati adrès IP otorize a, men koneksyon ki soti nan lòt sous yo pral bloke.

Nòt sou modèl/firmwèr: Entèfas la ka varye selon pyès ki nan konpitè a ak vèsyon yo. TL-R600VPN bezwen pyès ki nan konpitè v4 pou kouvri sèten fonksyon.Epi sou diferan sistèm, meni yo ka chanje plas. Menm si sa, pwosesis la rete menm jan an: kalite sèvis → gwoup IP → ACL ak Pèmèt ak Bloke. Pa bliye sove epi aplike pou règ yo antre an vigè.

Verifikasyon rekòmande: Apati adrès IP otorize a, eseye ssh usuario@IP_WAN epi verifye aksè. Apati yon lòt adrès IP, pò a ta dwe vin enaksesib. (koneksyon ki pa rive oubyen ki rejte, idealman san banyè pou evite bay endikasyon).

ACL ak Kontwolè Omada: Lis, Eta, ak Egzanp Senaryo

Si w ap jere pòtay TP-Link yo ak Omada Controller, lojik la sanble men ak plis opsyon vizyèl. Kreye gwoup (IP oswa pò), defini ACL pòtay yo, epi òganize règ yo. pou pèmèt minimòm nan epi refize tout lòt bagay.

Lis ak gwoup: nan Anviwònman → Pwofil → Gwoup Ou ka kreye gwoup IP (sou-rezo oswa òdinatè, tankou 192.168.0.32/27 oswa 192.168.30.100/32) epi tou gwoup pò (pa egzanp, HTTP 80 ak DNS 53). Gwoup sa yo senplifye règ konplèks yo lè yo reitilize objè yo.

ACL Gateway: limen Konfigirasyon → Sekirite Rezo → ACL Ajoute règ ak direksyon LAN→WAN, LAN→LAN oubyen WAN→LAN selon sa ou vle pwoteje. Règleman pou chak règ kapab Pèmèt oswa Refize. epi lòd la detèmine rezilta reyèl la. Tcheke "Aktive" pou aktive yo. Gen kèk vèsyon ki pèmèt ou kite règ yo prepare epi enfim.

Ka itil (ka adapte ak SSH): pèmèt sèlman sèvis espesifik epi bloke rès yo (pa egzanp, Pèmèt DNS ak HTTP epi Refize Tout). Pou lis blan jesyon yo, kreye Pèmèt soti nan IP ou fè konfyans nan "Paj Administrasyon Gateway la". epi apre sa yon refi jeneral nan men lòt rezo yo. Si firmwèr ou a gen opsyon sa a. BidirectionalOu ka jenere règ envès la otomatikman.

Estati koneksyon: ACL yo ka gen eta. Kalite komen yo se Nouvo, Etabli, Relasyon, ak Envalid"Nouvo" jere premye pake a (pa egzanp, SYN nan TCP), "Etabli" jere trafik bidireksyonèl ki te deja rankontre, "Ki gen rapò" jere koneksyon depandan (tankou chanèl done FTP), epi "Envalid" jere trafik anomali. Anjeneral, li pi bon pou kenbe paramèt defo yo sof si ou bezwen plis detay.

VLAN ak segmentasyon: Sipò pou routeurs Omada ak SMB senaryo unidireksyonèl ak bidireksyonèl ant VLAN yoOu ka bloke Maketing→R&D men pèmèt R&D→Maketing, oubyen bloke tou de direksyon yo epi toujou otorize yon administratè espesifik. Direksyon LAN→LAN nan ACL la itilize pou kontwole trafik ant sou-rezo entèn yo.

Metòd ak ranfòsman adisyonèl: TCP Wrappers, iptables, MikroTik ak pare-feu klasik

Anplis ACL routeur la, gen lòt kouch ki ta dwe aplike, sitou si destinasyon SSH la se yon sèvè Linux dèyè routeur la. TCP Wrappers pèmèt filtraj pa IP ak hosts.allow ak hosts.deny sou sèvis konpatib (tankou OpenSSH nan anpil konfigirasyon tradisyonèl).

Fichye kontwòl: si yo pa egziste, kreye yo avèk sudo touch /etc/hosts.{allow,deny}. Pi bon pratik: refize tout bagay nan hosts.deny epi li pèmèt li eksplisitman nan hosts.allow. Pa egzanp: nan /etc/hosts.deny pon sshd: ALL ak /etc/hosts.allow ajoute sshd: 203.0.113.10, 198.51.100.0/24Konsa, se sèlman IP sa yo ki pral kapab rive jwenn daemon SSH sèvè a.

Iptables pèsonalize: Si routeur ou oswa sèvè ou pèmèt li, ajoute règ ki aksepte SSH sèlman ki soti nan sous espesifik. Yon règ tipik ta dwe: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT ki te swiv pa yon règleman DROP pa defo oubyen yon règ ki bloke rès la. Sou routeurs ki gen yon onglet Règ koutim Ou ka enjekte liy sa yo epi aplike yo avèk "Save & Apply".

Pi bon pratik nan MikroTik (aplikab kòm yon gid jeneral): chanje pò default yo si sa posib, dezaktive Telnet (itilize sèlman SSH), sèvi ak modpas ki solid oubyen, pi bon toujou, otantifikasyon kleLimite aksè pa adrès IP lè l sèvi avèk pare-feu a, aktive 2FA si aparèy la sipòte li, epi kenbe firmwèr/RouterOS la ajou. Dezaktive aksè WAN si ou pa bezwen liLi kontwole tantativ ki echwe yo epi, si sa nesesè, aplike limit sou vitès koneksyon pou limite atak fòs brit.

Entèfas TP-Link Classic (Ansyen Firmwèr): Konekte sou panèl la avèk adrès IP LAN an (pa defo 192.168.1.1) ak kalifikasyon admin/admin, answit ale nan Sekirite → Pare-feuAktive filtè IP a epi chwazi pou pakè ki pa espesifye yo swiv règleman ou vle a. Apre sa, nan Filtraj Adrès IP, peze "Ajoute nouvo" epi defini ki IP ki ka oswa ki pa ka itilize pò sèvis la sou WAN an (pou SSH, 22/tcp). Sove chak etap. Sa pèmèt ou aplike yon refi jeneral epi kreye eksepsyon pou pèmèt sèlman IP ou fè konfyans yo.

Bloke IP espesifik ak wout estatik

Nan kèk ka, li itil pou bloke mesaj sortan sou IP espesifik pou amelyore estabilite ak sèten sèvis (tankou difizyon). Yon fason pou fè sa sou plizyè aparèy TP-Link se atravè routage estatik., kreye wout /32 ki evite rive nan destinasyon sa yo oubyen dirije yo yon fason pou wout default la pa konsome yo (sipò a varye selon firmwèr la).

Modèl resan yo: ale nan onglet la Avanse → Rezo → Routage Avanse → Routage Statik epi peze "+ Ajoute". Antre "Destinasyon Rezo" ak adrès IP ou vle bloke a, "Mask Sous-rezo" 255.255.255.255, "Gateway Defo" pòtay LAN an (jeneralman 192.168.0.1) epi "Entèfas" LAN an. Chwazi "Pèmèt antre sa a" epi sove.Repete pou chak adrès IP sib selon sèvis ou vle kontwole a.

Ansyen firmwèr yo: ale nan Routage avanse → Lis routage estatik, peze "Ajoute nouvo" epi ranpli menm chan yo. Aktive estati wout la epi sove liKonsilte sipò sèvis ou a pou w konnen ki adrès IP pou trete, paske sa yo ka chanje.

Verifikasyon: Louvri yon tèminal oswa yon èd memwa kòmand epi teste avèk ping 8.8.8.8 (oswa IP destinasyon ou te bloke a). Si ou wè "Delè" oswa "Òt destinasyon an pa aksesib"Blokaj la ap fonksyone. Si se pa sa, revize etap yo epi rekòmanse routeur la pou tout tab yo pran efè.

Verifikasyon, tès, ak rezolisyon ensidan

Pou verifye si lis blan SSH ou a ap fonksyone, eseye itilize yon adrès IP otorize. ssh usuario@IP_WAN -p 22 (oswa pò w ap itilize a) epi konfime aksè a. Apati yon adrès IP ki pa otorize, pò a pa ta dwe ofri sèvis.. USA nmap -p 22 IP_WAN pou tcheke kondisyon cho a.

Si yon bagay pa reyaji jan li ta dwe, tcheke priyorite ACL la. Règ yo trete youn apre lòt, epi moun ki gen ID ki pi ba a genyen.Yon Refize ki pi wo pase Otorize ou an anile lis blan an. Epitou, tcheke ke "Kalite Sèvis" la ap montre pò ki kòrèk la epi ke "Gwoup IP" ou yo gen ladan yo entèval ki apwopriye yo.

Si gen yon konpòtman sispèk (pèt koneksyon apre yon ti tan, règ ki chanje poukont yo, trafik LAN ki diminye), konsidere mete ajou firmwèr laDezaktive sèvis ou pa itilize yo (administrasyon entènèt/Telnet/SSH a distans), chanje kalifikasyon yo, tcheke klonaj MAC si sa aplikab, epi finalman, Retabli nan paramèt faktori yo epi rekonfigure avèk paramèt minimòm ak yon lis blan strik.

Nòt sou konpatibilite, modèl, ak disponiblite

Disponibilite fonksyonalite yo (ACL ki gen eta, pwofil, lis blan, koreksyon PVID sou pò, elatriye) Sa ka depann de modèl ak vèsyon pyès ki nan konpitè aNan kèk aparèy, tankou TL-R600VPN nan, sèten kapasite yo disponib sèlman apati vèsyon 4 la. Entèfas itilizatè yo chanje tou, men pwosesis debaz la rete menm: bloke pa default, defini sèvis ak gwoup yo, pèmèt aksè soti nan adrès IP espesifik epi bloke rès la.

Nan ekosistèm TP-Link la, gen anpil aparèy ki enplike nan rezo antrepriz yo. Modèl yo site nan dokimantasyon an gen ladan yo T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS41FTL, T2500G-10TS41FTL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700-28TC, T3700G-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T370008 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQpami lòt moun. Kenbe nan tèt ou ke Òf la varye selon rejyon an. epi gen kèk ki ka pa disponib nan zòn ou an.

Pou rete ajou, vizite paj sipò pwodwi ou a, chwazi vèsyon pyès ki nan konpitè ki kòrèk la, epi verifye nòt firmwèr ak espesifikasyon teknik ak dènye amelyorasyon yo. Pafwa mizajou yo elaji oswa amelyore karakteristik pare-feu, ACL, oswa jesyon a distans.

Fèmen a Sch Pou tout IP eksepte espesifik, byen òganize ACL yo epi konprann ki mekanis ki kontwole chak bagay anpeche ou gen sipriz dezagreyab. Avèk yon règleman refi pa defo, lis blan presi, ak verifikasyon regilyeRouteur TP-Link ou a ak sèvis ki dèyè l yo ap pi byen pwoteje san ou pa bezwen pèdi jesyon lè w bezwen li.

Atik ki gen rapò ak:

TP-Link ap fè fas ak echèk kritik nan routeurs antrepriz yo ak presyon regilasyon k ap grandi.

Kretyen garcia

Pasyone sou teknoloji depi li te piti. Mwen renmen mete ajou nan sektè a epi, sitou, kominike li. Se poutèt sa mwen te dedye a kominikasyon sou teknoloji ak videyo jwèt sit entènèt pou anpil ane. Ou ka jwenn mwen ekri sou Android, Windows, MacOS, iOS, Nintendo oswa nenpòt lòt sijè ki gen rapò ki vin nan tèt ou.