- Prioritaskan kebijakan penolakan default dan gunakan daftar putih untuk SSH.
- Menggabungkan NAT + ACL: membuka port dan membatasi berdasarkan IP sumber.
- Verifikasi dengan nmap/ping dan hormati prioritas aturan (ID).
- Perkuat dengan pembaruan, kunci SSH, dan layanan minimum.
¿Bagaimana cara membatasi akses SSH ke router TP-Link ke IP tepercaya? Mengontrol siapa yang dapat mengakses jaringan Anda melalui SSH bukanlah suatu keinginan, ini adalah lapisan keamanan yang penting. Izinkan akses hanya dari alamat IP tepercaya Ini mengurangi permukaan serangan, memperlambat pemindaian otomatis, dan mencegah upaya intrusi terus-menerus dari Internet.
Dalam panduan praktis dan komprehensif ini Anda akan melihat cara melakukannya dalam berbagai skenario dengan peralatan TP-Link (SMB dan Omada), apa yang perlu dipertimbangkan dengan aturan ACL dan daftar putih, serta cara memverifikasi bahwa semuanya tertutup dengan benar. Kami mengintegrasikan metode tambahan seperti TCP Wrappers, iptables, dan praktik terbaik sehingga Anda dapat mengamankan lingkungan Anda tanpa meninggalkan satu pun hal yang terlewat.
Mengapa membatasi akses SSH pada router TP-Link
Memaparkan SSH ke internet membuka peluang bagi penyisiran besar-besaran oleh bot yang sudah penasaran dengan niat jahat. Mendeteksi port 22 yang dapat diakses di WAN setelah pemindaian bukanlah hal yang aneh, seperti yang telah diamati dalam [contoh SSH]. kegagalan kritis pada router TP-Link. Perintah nmap sederhana dapat digunakan untuk memeriksa apakah alamat IP publik Anda memiliki port 22 terbuka.: mengeksekusi sesuatu seperti ini pada mesin eksternal nmap -vvv -p 22 TU_IP_PUBLICA dan periksa apakah "buka ssh" muncul.
Bahkan jika Anda menggunakan kunci publik, membiarkan port 22 terbuka akan mengundang eksplorasi lebih lanjut, pengujian port lain, dan serangan terhadap layanan manajemen. Solusinya jelas: tolak secara default dan aktifkan hanya dari IP atau rentang yang diizinkan.Sebaiknya Anda tetap dan mengendalikannya sendiri. Jika Anda tidak memerlukan manajemen jarak jauh, nonaktifkan sepenuhnya di WAN.
Selain mengekspos port, ada situasi di mana Anda mungkin mencurigai adanya perubahan aturan atau perilaku anomali (misalnya, modem kabel yang mulai "memutuskan" lalu lintas keluar setelah beberapa saat). Jika Anda melihat bahwa ping, traceroute, atau penelusuran tidak berhasil melewati modem, periksa pengaturan, firmware, dan pertimbangkan untuk mengembalikan pengaturan pabrik. dan tutup apa pun yang tidak Anda gunakan.
Model mental: blokir secara default dan buat daftar putih
Filosofi kemenangannya sederhana: kebijakan penolakan default dan pengecualian eksplisitPada banyak router TP-Link dengan antarmuka tingkat lanjut, Anda dapat mengatur kebijakan masuk jarak jauh tipe Drop di firewall, lalu mengizinkan alamat tertentu pada daftar putih untuk layanan manajemen.
Pada sistem yang menyertakan opsi "Kebijakan Input Jarak Jauh" dan "Aturan Daftar Putih" (di halaman Jaringan - Firewall), Hapus merek dalam kebijakan entri jarak jauh Dan tambahkan IP publik dalam format CIDR XXXX/XX ke daftar putih yang seharusnya dapat menjangkau konfigurasi atau layanan seperti SSH/Telnet/HTTP(S). Entri ini dapat menyertakan deskripsi singkat untuk menghindari kebingungan di kemudian hari.
Sangat penting untuk memahami perbedaan antara mekanisme tersebut. Penerusan port (NAT/DNAT) mengalihkan port ke mesin LANSementara "Aturan penyaringan" mengontrol lalu lintas WAN-ke-LAN atau antar-jaringan, "Aturan daftar putih" firewall mengatur akses ke sistem manajemen router. Aturan penyaringan tidak memblokir akses ke perangkat itu sendiri; untuk itu, Anda menggunakan daftar putih atau aturan khusus terkait lalu lintas masuk ke router.
Untuk mengakses layanan internal, pemetaan port dibuat dalam NAT dan kemudian dibatasi siapa yang dapat mencapai pemetaan tersebut dari luar. Resepnya adalah: buka port yang diperlukan lalu batasi dengan kontrol akses. yang hanya memperbolehkan sumber yang sah untuk melewatinya dan memblokir sisanya.
SSH dari IP tepercaya di TP-Link SMB (ER6120/ER8411 dan sejenisnya)
Pada router SMB seperti TL-ER6120 atau ER8411, pola umum untuk mengiklankan layanan LAN (misalnya, SSH pada server internal) dan membatasinya berdasarkan IP sumber adalah dua fase. Pertama, port dibuka dengan Server Virtual (NAT), lalu difilter dengan Kontrol Akses. berdasarkan grup IP dan jenis layanan.
Fase 1 – Server Virtual: buka Lanjutan → NAT → Server Virtual dan membuat entri untuk antarmuka WAN yang sesuai. Konfigurasikan port eksternal 22 dan arahkan ke alamat IP internal server (misalnya, 192.168.0.2:22)Simpan aturan untuk menambahkannya ke daftar. Jika kasus Anda menggunakan port yang berbeda (misalnya, Anda telah mengubah SSH ke 2222), sesuaikan nilainya.
Tahap 2 – Jenis layanan: masuk Preferensi → Jenis Layanan, buat layanan baru yang disebut, misalnya, SSH, pilih TCP atau TCP/UDP dan tentukan port tujuan 22 (rentang port sumber dapat berupa 0–65535). Lapisan ini akan memungkinkan Anda untuk merujuk port dengan bersih di ACL.
Tahap 3 – Kelompok IP: pergi ke Preferensi → Grup IP → Alamat IP dan tambahkan entri untuk sumber yang diizinkan (misalnya IP publik atau rentang, bernama "Access_Client") dan sumber daya tujuan (misalnya "SSH_Server" dengan IP internal server). Kemudian kaitkan setiap alamat dengan Grup IP yang sesuai dalam menu yang sama.
Tahap 4 – Kontrol akses: di Firewall → Kontrol Akses Buat dua aturan. 1) Izinkan Aturan: Izinkan kebijakan, layanan "SSH" yang baru didefinisikan, Sumber = grup IP "Access_Client" dan tujuan = "SSH_Server". Berikan ID 1. 2) Aturan Pemblokiran: Kebijakan blokir dengan sumber = IPGROUP_ANY dan tujuan = "SSH_Server" (atau sebagaimana berlaku) dengan ID 2. Dengan cara ini, hanya IP atau rentang tepercaya yang akan melewati NAT ke SSH Anda; sisanya akan diblokir.
Urutan evaluasi sangatlah penting. ID yang lebih rendah diprioritaskanOleh karena itu, aturan "Izinkan" harus mendahului aturan "Blokir" (ID lebih rendah). Setelah menerapkan perubahan, Anda akan dapat terhubung ke alamat IP WAN router pada port yang ditentukan dari alamat IP yang diizinkan, tetapi koneksi dari sumber lain akan diblokir.
Catatan model/firmware: Antarmuka dapat bervariasi antara perangkat keras dan versi. TL-R600VPN memerlukan perangkat keras v4 untuk mencakup fungsi tertentuDan pada sistem yang berbeda, menu-menu tersebut mungkin dipindahkan. Meskipun demikian, alurnya tetap sama: jenis layanan → grup IP → ACL dengan Izinkan dan Blokir. Jangan lupa simpan dan terapkan agar peraturan tersebut berlaku.
Verifikasi yang disarankan: Dari alamat IP yang sah, coba ssh usuario@IP_WAN dan memverifikasi akses. Dari alamat IP lain, port tersebut seharusnya tidak dapat diakses. (koneksi yang tidak sampai atau ditolak, idealnya tanpa spanduk untuk menghindari pemberian petunjuk).
ACL dengan Pengontrol Omada: Daftar, Status, dan Contoh Skenario
Jika Anda mengelola gateway TP-Link dengan Omada Controller, logikanya serupa tetapi dengan lebih banyak opsi visual. Buat grup (IP atau port), tentukan ACL gateway, dan atur aturan untuk mengizinkan hal-hal minimum dan menolak hal-hal lainnya.
Daftar dan grup: di Pengaturan → Profil → Grup Anda dapat membuat grup IP (subnet atau host, seperti 192.168.0.32/27 atau 192.168.30.100/32) dan juga grup port (misalnya, HTTP 80 dan DNS 53). Kelompok-kelompok ini menyederhanakan aturan-aturan yang rumit dengan menggunakan kembali objek.
ACL Gateway: aktif Konfigurasi → Keamanan Jaringan → ACL Tambahkan aturan dengan arah LAN→WAN, LAN→LAN atau WAN→LAN tergantung pada apa yang ingin Anda lindungi. Kebijakan untuk setiap aturan dapat berupa Izinkan atau Tolak. dan urutannya menentukan hasil aktual. Centang "Aktifkan" untuk mengaktifkannya. Beberapa versi memungkinkan Anda membiarkan aturan tetap siap dan dinonaktifkan.
Kasus yang berguna (dapat disesuaikan dengan SSH): izinkan hanya layanan tertentu dan blokir sisanya (misalnya, Izinkan DNS dan HTTP, lalu Tolak Semua). Untuk daftar putih manajemen, buat Izinkan dari IP Tepercaya ke "Halaman Administrasi Gateway" lalu penolakan umum dari jaringan lain. Jika firmware Anda memiliki opsi itu. Dua arahAnda dapat secara otomatis membuat aturan kebalikannya.
Status koneksi: ACL dapat bersifat stateful. Jenis yang umum adalah Baru, Sudah Ada, Terkait, dan Tidak Valid"Baru" menangani paket pertama (misalnya, SYN dalam TCP), "Terbentuk" menangani lalu lintas dua arah yang pernah ditemui sebelumnya, "Terkait" menangani koneksi dependen (seperti kanal data FTP), dan "Tidak Valid" menangani lalu lintas anomali. Umumnya, sebaiknya pertahankan pengaturan default kecuali Anda memerlukan detail yang lebih detail.
VLAN dan segmentasi: Dukungan router Omada dan SMB skenario searah dan dua arah antara VLANAnda dapat memblokir Pemasaran→Litbang tetapi mengizinkan Litbang→Pemasaran, atau memblokir kedua arah dan tetap mengizinkan administrator tertentu. Arah LAN→LAN dalam ACL digunakan untuk mengontrol lalu lintas antar subnet internal.
Metode dan penguatan tambahan: TCP Wrappers, iptables, MikroTik dan firewall klasik
Selain ACL router, ada lapisan lain yang harus diterapkan, terutama jika tujuan SSH adalah server Linux di belakang router. TCP Wrappers memungkinkan pemfilteran berdasarkan IP dengan hosts.allow dan hosts.deny pada layanan yang kompatibel (termasuk OpenSSH dalam banyak konfigurasi tradisional).
File kontrol: jika tidak ada, buatlah dengan sudo touch /etc/hosts.{allow,deny}. Praktik terbaik: tolak semua yang ada di hosts.deny dan secara eksplisit mengizinkannya di hosts.allow. Misalnya: di /etc/hosts.deny pon sshd: ALL dan /etc/hosts.allow tambah sshd: 203.0.113.10, 198.51.100.0/24Dengan demikian, hanya IP tersebut yang dapat mencapai daemon SSH server.
Iptables khusus: Jika router atau server Anda mengizinkannya, tambahkan aturan yang hanya menerima SSH dari sumber tertentu. Aturan yang umum adalah: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT diikuti oleh kebijakan DROP default atau aturan yang memblokir sisanya. Pada router dengan tab Aturan khusus Anda dapat menyuntikkan baris-baris ini dan menerapkannya dengan "Simpan & Terapkan".
Praktik terbaik di MikroTik (berlaku sebagai panduan umum): ubah port default jika memungkinkan, nonaktifkan Telnet (gunakan hanya SSH), gunakan kata sandi yang kuat atau, lebih baik lagi, otentikasi kunciBatasi akses berdasarkan alamat IP menggunakan firewall, aktifkan 2FA jika perangkat mendukungnya, dan selalu perbarui firmware/RouterOS. Nonaktifkan akses WAN jika Anda tidak membutuhkannyaIa memantau upaya yang gagal dan, jika perlu, menerapkan batasan kecepatan koneksi untuk mengekang serangan brute force.
Antarmuka TP-Link Klasik (Firmware Lama): Masuk ke panel menggunakan alamat IP LAN (default 192.168.1.1) dan kredensial admin/admin, lalu buka Keamanan → FirewallAktifkan filter IP dan pilih agar paket yang tidak ditentukan mengikuti kebijakan yang diinginkan. Kemudian, di Penyaringan Alamat IP, tekan "Tambah baru" dan tentukan IP mana yang dapat atau tidak dapat menggunakan port layanan di WAN (untuk SSH, 22/tcp). Simpan setiap langkah. Ini memungkinkan Anda menerapkan penolakan umum dan membuat pengecualian untuk hanya mengizinkan IP tepercaya.
Blokir IP tertentu dengan rute statis
Dalam beberapa kasus, ada baiknya memblokir keluar ke IP tertentu untuk meningkatkan stabilitas dengan layanan tertentu (seperti streaming). Salah satu cara untuk melakukan ini pada beberapa perangkat TP-Link adalah melalui perutean statis., membuat rute /32 yang menghindari mencapai tujuan tersebut atau mengarahkannya sedemikian rupa sehingga tidak dikonsumsi oleh rute default (dukungan bervariasi berdasarkan firmware).
Model terbaru: buka tab Lanjutan → Jaringan → Perutean Lanjutan → Perutean Statis dan tekan "+ Tambah". Masukkan "Tujuan Jaringan" dengan alamat IP yang akan diblokir, "Subnet Mask" 255.255.255.255, "Gateway Default" untuk gateway LAN (biasanya 192.168.0.1), dan "Antarmuka" untuk LAN. Pilih "Izinkan entri ini" dan simpanUlangi untuk setiap alamat IP target tergantung pada layanan yang ingin Anda kendalikan.
Firmware lama: buka Perutean lanjutan → Daftar perutean statis, tekan "Tambah baru" dan isi kolom yang sama. Aktifkan status rute dan simpanHubungi dukungan layanan Anda untuk mengetahui IP mana yang harus ditangani, karena IP tersebut dapat berubah.
Verifikasi: Buka terminal atau command prompt dan uji dengan ping 8.8.8.8 (atau alamat IP tujuan yang telah Anda blokir). Jika Anda melihat "Waktu habis" atau "Host tujuan tidak dapat dijangkau"Pemblokiran berhasil. Jika tidak, tinjau langkah-langkahnya dan mulai ulang router agar semua tabel berfungsi.
Verifikasi, pengujian, dan resolusi insiden
Untuk memverifikasi bahwa daftar putih SSH Anda berfungsi, coba gunakan alamat IP yang sah. ssh usuario@IP_WAN -p 22 (atau port yang Anda gunakan) dan konfirmasikan akses. Dari alamat IP yang tidak sah, port tersebut tidak akan menawarkan layanan.. Kegunaan nmap -p 22 IP_WAN untuk memeriksa kondisi panas.
Jika ada yang tidak merespons sebagaimana mestinya, periksa prioritas ACL. Aturan diproses secara berurutan, dan yang memiliki ID terendah menang.Opsi "Tolak" di atas "Izinkan" akan membatalkan daftar putih. Selain itu, periksa apakah "Jenis Layanan" mengarah ke port yang benar dan "Grup IP" Anda berisi rentang yang sesuai.
Jika terjadi perilaku mencurigakan (kehilangan konektivitas setelah beberapa saat, aturan yang berubah sendiri, lalu lintas LAN yang terputus), pertimbangkan perbarui firmwareNonaktifkan layanan yang tidak Anda gunakan (administrasi web/Telnet/SSH jarak jauh), ubah kredensial, periksa kloning MAC jika berlaku, dan akhirnya, Pulihkan ke pengaturan pabrik dan konfigurasikan ulang dengan pengaturan minimal dan daftar putih yang ketat.
Catatan kompatibilitas, model, dan ketersediaan
Ketersediaan fitur (ACL stateful, profil, daftar putih, pengeditan PVID pada port, dll.) Ini mungkin tergantung pada model dan versi perangkat kerasPada beberapa perangkat, seperti TL-R600VPN, kemampuan tertentu hanya tersedia mulai versi 4 dan seterusnya. Antarmuka pengguna juga berubah, tetapi proses dasarnya tetap sama: memblokir secara default, mendefinisikan layanan dan kelompok, izinkan dari IP tertentu dan blokir sisanya.
Dalam ekosistem TP-Link, terdapat banyak perangkat yang terlibat dalam jaringan perusahaan. Model yang dikutip dalam dokumentasi ini meliputi: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQantara lain. Perlu diingat bahwa Penawaran bervariasi berdasarkan wilayah. dan beberapa mungkin tidak tersedia di wilayah Anda.
Untuk tetap mendapatkan informasi terbaru, kunjungi halaman dukungan produk Anda, pilih versi perangkat keras yang benar, dan periksa catatan firmware dan spesifikasi teknis dengan penyempurnaan terbaru. Terkadang, pembaruan memperluas atau menyempurnakan fitur firewall, ACL, atau manajemen jarak jauh.
Tutup SSH Untuk semua IP kecuali yang spesifik, pengorganisasian ACL dengan tepat dan pemahaman mekanisme apa yang mengendalikan setiap hal akan menyelamatkan Anda dari kejutan yang tidak menyenangkan. Dengan kebijakan penolakan default, daftar putih yang tepat, dan verifikasi rutinRouter TP-Link Anda dan layanan di baliknya akan jauh lebih terlindungi tanpa harus melepaskan pengelolaan saat Anda membutuhkannya.
Bergairah tentang teknologi sejak dia masih kecil. Saya senang mengetahui perkembangan terkini di sektor ini dan, yang terpenting, mengomunikasikannya. Itulah sebabnya saya telah mendedikasikan diri pada komunikasi di situs web teknologi dan video game selama bertahun-tahun. Anda dapat menemukan saya menulis tentang Android, Windows, MacOS, iOS, Nintendo, atau topik terkait lainnya yang terlintas dalam pikiran Anda.