- Dare priorità a una politica di rifiuto predefinita e utilizzare whitelist per SSH.
- Combina NAT + ACL: apre la porta e limita in base all'IP sorgente.
- Verificare con nmap/ping e rispettare la priorità della regola (ID).
- Rafforzare con aggiornamenti, chiavi SSH e servizi minimi.
¿Come limitare l'accesso SSH a un router TP-Link agli IP attendibili? Controllare chi può accedere alla tua rete tramite SSH non è un capriccio, ma un livello essenziale di sicurezza. Consenti l'accesso solo da indirizzi IP attendibili Riduce la superficie di attacco, rallenta le scansioni automatiche e impedisce i continui tentativi di intrusione da Internet.
In questa guida pratica e completa scoprirai come farlo in diversi scenari con apparecchiature TP-Link (SMB e Omada), cosa considerare con le regole ACL e le whitelist e come verificare che tutto sia chiuso correttamente. Integriamo metodi aggiuntivi come TCP Wrapper, iptables e best practice così puoi proteggere il tuo ambiente senza lasciare nulla in sospeso.
Perché limitare l'accesso SSH sui router TP-Link
Esporre SSH a Internet apre le porte a massicce operazioni di bot già curiosi e con intenti malevoli. Non è raro rilevare la porta 22 accessibile sulla WAN dopo una scansione, come osservato in [esempi di SSH]. guasti critici nei router TP-Link. Per verificare se il tuo indirizzo IP pubblico ha la porta 22 aperta, puoi usare un semplice comando nmap.: esegue qualcosa di simile su una macchina esterna nmap -vvv -p 22 TU_IP_PUBLICA e controlla se appare "apri ssh".
Anche se si utilizzano chiavi pubbliche, lasciare aperta la porta 22 invita a ulteriori esplorazioni, a testare altre porte e ad attaccare i servizi di gestione. La soluzione è chiara: negare per impostazione predefinita e abilitare solo dagli IP o dagli intervalli consentiti.Preferibilmente fisso e controllato da te. Se non hai bisogno della gestione remota, disattivala completamente sulla WAN.
Oltre all'esposizione delle porte, ci sono situazioni in cui si potrebbe sospettare una modifica delle regole o un comportamento anomalo (ad esempio, un modem via cavo che inizia a "perdere" il traffico in uscita dopo un po'). Se noti che ping, traceroute o navigazione non riescono a superare il modem, controlla le impostazioni, il firmware e valuta la possibilità di ripristinare le impostazioni di fabbrica. e chiudi tutto ciò che non usi.
Modello mentale: bloccare di default e creare una whitelist
La filosofia vincente è semplice: politica di negazione predefinita ed eccezioni espliciteSu molti router TP-Link dotati di interfaccia avanzata, è possibile impostare una policy di ingresso remoto di tipo Drop nel firewall e quindi consentire indirizzi specifici in una whitelist per i servizi di gestione.
Nei sistemi che includono le opzioni "Criterio di input remoto" e "Regole whitelist" (nelle pagine Rete - Firewall), Eliminare il marchio nella politica di accesso remoto Aggiungere alla whitelist gli IP pubblici in formato CIDR XXXX/XX che dovrebbero essere in grado di raggiungere la configurazione o servizi come SSH/Telnet/HTTP(S). Queste voci possono includere una breve descrizione per evitare confusione in seguito.
È fondamentale comprendere la differenza tra i meccanismi. Il port forwarding (NAT/DNAT) reindirizza le porte alle macchine LANMentre le "regole di filtraggio" controllano il traffico WAN-LAN o inter-rete, le "regole di whitelist" del firewall regolano l'accesso al sistema di gestione del router. Le regole di filtraggio non bloccano l'accesso al dispositivo stesso; per questo, si utilizzano whitelist o regole specifiche per il traffico in entrata al router.
Per accedere ai servizi interni, la mappatura delle porte viene creata in NAT e quindi viene limitato chi può raggiungere tale mappatura dall'esterno. La ricetta è questa: aprire la porta necessaria e poi limitarla con il controllo degli accessi. che consente il passaggio solo alle fonti autorizzate e blocca le altre.
SSH da IP attendibili su TP-Link SMB (ER6120/ER8411 e simili)
Nei router SMB come TL-ER6120 o ER8411, il modello usuale per pubblicizzare un servizio LAN (ad esempio, SSH su un server interno) e limitarlo in base all'IP sorgente è in due fasi. Innanzitutto, la porta viene aperta con un server virtuale (NAT), quindi viene filtrata con il controllo degli accessi. in base ai gruppi IP e ai tipi di servizio.
Fase 1 – Server virtuale: vai a Avanzate → NAT → Server virtuale e crea una voce per l'interfaccia WAN corrispondente. Configurare la porta esterna 22 e indirizzarla all'indirizzo IP interno del server (ad esempio, 192.168.0.2:22)Salva la regola per aggiungerla all'elenco. Se il tuo caso utilizza una porta diversa (ad esempio, hai cambiato SSH in 2222), modifica il valore di conseguenza.
Fase 2 – Tipo di servizio: entra Preferenze → Tipo di servizio, crea un nuovo servizio chiamato, ad esempio, SSH, seleziona TCP o TCP/UDP e definire la porta di destinazione 22 (l'intervallo della porta di origine può essere 0–65535). Questo livello ti consentirà di fare riferimento alla porta in modo pulito nell'ACL.
Fase 3 – Gruppo IP: vai a Preferenze → Gruppo IP → Indirizzo IP e aggiungi voci sia per la sorgente consentita (ad esempio il tuo IP pubblico o un intervallo denominato "Access_Client") sia per la risorsa di destinazione (ad esempio "SSH_Server" con l'IP interno del server). Quindi associare ogni indirizzo al suo gruppo IP corrispondente all'interno dello stesso menu.
Fase 4 – Controllo degli accessi: in Firewall → Controllo accessi Crea due regole. 1) Regola di autorizzazione: Consenti criterio, servizio "SSH" appena definito, Origine = gruppo IP "Access_Client" e destinazione = "SSH_Server". Assegnagli ID 1. 2) Regola di blocco: blocca la policy con origine = IPGROUP_ANY e destinazione = "SSH_Server" (o, se applicabile) con ID 2. In questo modo, solo l'IP o l'intervallo attendibile passerà attraverso il NAT al tuo SSH; il resto verrà bloccato.
L'ordine di valutazione è fondamentale. Gli ID inferiori hanno la prioritàPertanto, la regola Consenti deve precedere (ID inferiore) la regola Blocca. Dopo aver applicato le modifiche, sarà possibile connettersi all'indirizzo IP WAN del router sulla porta definita dall'indirizzo IP consentito, ma le connessioni da altre fonti saranno bloccate.
Note sul modello/firmware: l'interfaccia può variare a seconda dell'hardware e della versione. TL-R600VPN richiede hardware v4 per coprire determinate funzioniE su sistemi diversi, i menu potrebbero essere riposizionati. Ciononostante, il flusso è lo stesso: tipo di servizio → gruppi IP → ACL con Consenti e Blocca. Non dimenticare salvare e applicare affinché le regole entrino in vigore.
Verifica consigliata: dall'indirizzo IP autorizzato, prova ssh usuario@IP_WAN e verificare l'accesso. Da un altro indirizzo IP, la porta dovrebbe diventare inaccessibile. (connessione che non arriva o viene rifiutata, idealmente senza banner per evitare di dare indizi).
ACL con Omada Controller: elenchi, stati e scenari di esempio
Se si gestiscono i gateway TP-Link con Omada Controller, la logica è simile, ma con più opzioni visive. Crea gruppi (IP o porte), definisci ACL del gateway e organizza le regole per consentire il minimo indispensabile e negare tutto il resto.
Liste e gruppi: in Impostazioni → Profili → Gruppi È possibile creare gruppi IP (subnet o host, ad esempio 192.168.0.32/27 o 192.168.30.100/32) e anche gruppi di porte (ad esempio, HTTP 80 e DNS 53). Questi gruppi semplificano le regole complesse riutilizzando gli oggetti.
Gateway ACL: attivo Configurazione → Sicurezza di rete → ACL Aggiungere regole con direzione LAN→WAN, LAN→LAN o WAN→LAN a seconda di ciò che si desidera proteggere. La policy per ogni regola può essere Consenti o Nega. e l'ordine determina il risultato effettivo. Seleziona "Abilita" per attivarle. Alcune versioni consentono di lasciare le regole preparate e disattivate.
Casi utili (adattabili a SSH): consentire solo servizi specifici e bloccare il resto (ad esempio, consentire DNS e HTTP e poi negare tutto). Per le whitelist di gestione, creare Consenti da IP attendibili nella "Pagina di amministrazione del gateway" e poi un rifiuto generale dalle altre reti. Se il tuo firmware ha questa opzione. bidirezionaleÈ possibile generare automaticamente la regola inversa.
Stato della connessione: gli ACL possono essere con stato. I tipi comuni sono Nuovo, Stabilito, Correlato e Non valido"Nuovo" gestisce il primo pacchetto (ad esempio, SYN in TCP), "Stabilito" gestisce il traffico bidirezionale precedentemente incontrato, "Correlato" gestisce le connessioni dipendenti (come i canali dati FTP) e "Non valido" gestisce il traffico anomalo. In genere, è meglio mantenere le impostazioni predefinite, a meno che non si richieda una granularità maggiore.
VLAN e segmentazione: supporto router Omada e SMB scenari unidirezionali e bidirezionali tra VLANÈ possibile bloccare Marketing→R&S ma consentire R&S→Marketing, oppure bloccare entrambe le direzioni e comunque autorizzare un amministratore specifico. La direzione LAN→LAN nell'ACL viene utilizzata per controllare il traffico tra le subnet interne.
Metodi e rinforzi aggiuntivi: TCP Wrapper, iptables, MikroTik e firewall classico
Oltre agli ACL del router, ci sono altri livelli che dovrebbero essere applicati, soprattutto se la destinazione SSH è un server Linux dietro il router. TCP Wrappers consente il filtraggio per IP con hosts.allow e hosts.deny su servizi compatibili (incluso OpenSSH in molte configurazioni tradizionali).
File di controllo: se non esistono, creali con sudo touch /etc/hosts.{allow,deny}. Buona pratica: negare tutto in hosts.deny e lo consente esplicitamente in hosts.allow. Ad esempio: in /etc/hosts.deny pon sshd: ALL e nel /etc/hosts.allow aggiunge sshd: 203.0.113.10, 198.51.100.0/24Pertanto, solo quegli IP saranno in grado di raggiungere il demone SSH del server.
Iptables personalizzati: se il router o il server lo consente, aggiungi regole che accettino SSH solo da fonti specifiche. Una regola tipica sarebbe: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT seguito da una policy DROP predefinita o da una regola che blocca il resto. Sui router con una scheda di Regole personalizzate È possibile inserire queste linee e applicarle con "Salva e applica".
Buone pratiche in MikroTik (applicabili come guida generale): cambiare le porte predefinite se possibile, disattivare Telnet (usa solo SSH), usa password complesse o, meglio ancora, autenticazione a chiaveLimitare l'accesso tramite indirizzo IP utilizzando il firewall, abilitare l'autenticazione a due fattori se il dispositivo la supporta e mantenere aggiornato il firmware/RouterOS. Disattiva l'accesso WAN se non ne hai bisognoMonitora i tentativi falliti e, se necessario, applica limiti alla velocità di connessione per limitare gli attacchi brute force.
Interfaccia TP-Link Classic (firmware precedente): accedi al pannello utilizzando l'indirizzo IP LAN (predefinito 192.168.1.1) e le credenziali admin/admin, quindi vai su Sicurezza → FirewallAbilita il filtro IP e scegli di far sì che i pacchetti non specificati seguano la politica desiderata. Quindi, in Filtraggio degli indirizzi IP, premere "Aggiungi nuovo" e definire quali IP possono o non possono utilizzare la porta di servizio sulla WAN (per SSH, 22/tcp). Salvare ogni passaggio. Questo consente di applicare un rifiuto generale e creare eccezioni per consentire solo IP attendibili.
Blocca IP specifici con percorsi statici
In alcuni casi è utile bloccare l'uscita verso IP specifici per migliorare la stabilità con determinati servizi (ad esempio lo streaming). Un modo per farlo su più dispositivi TP-Link è tramite routing statico., creando percorsi /32 che evitano di raggiungere tali destinazioni o le indirizzano in modo tale che non vengano consumate dal percorso predefinito (il supporto varia in base al firmware).
Modelli recenti: vai alla scheda Avanzate → Rete → Routing avanzato → Routing statico e premere "+ Aggiungi". Inserire "Destinazione di rete" con l'indirizzo IP da bloccare, "Subnet Mask" 255.255.255.255, "Gateway predefinito" il gateway LAN (in genere 192.168.0.1) e "Interfaccia" LAN. Seleziona "Consenti questa voce" e salvaRipetere l'operazione per ciascun indirizzo IP di destinazione, a seconda del servizio che si desidera controllare.
Firmware più vecchi: vai a Routing avanzato → Elenco di routing statico, premere "Aggiungi nuovo" e compilare gli stessi campi. Attiva lo stato del percorso e salvaConsulta l'assistenza del tuo servizio per scoprire quali IP trattare, poiché potrebbero cambiare.
Verifica: aprire un terminale o un prompt dei comandi e testare con ping 8.8.8.8 (o l'IP di destinazione che hai bloccato). Se vedi "Timeout" o "Host di destinazione non raggiungibile"Il blocco funziona. In caso contrario, rivedere i passaggi e riavviare il router affinché tutte le tabelle abbiano effetto.
Verifica, test e risoluzione degli incidenti
Per verificare che la whitelist SSH funzioni, prova a utilizzare un indirizzo IP autorizzato. ssh usuario@IP_WAN -p 22 (o la porta che utilizzi) e conferma l'accesso. Da un indirizzo IP non autorizzato, la porta non dovrebbe offrire servizio.. Utilizza nmap -p 22 IP_WAN per verificare la condizione di calore.
Se qualcosa non risponde come dovrebbe, controllare la priorità ACL. Le regole vengono elaborate in sequenza e vincono quelle con l'ID più basso.Un "Nega" sopra il "Consenti" invalida la whitelist. Verifica inoltre che il "Tipo di servizio" punti alla porta corretta e che i "Gruppi IP" contengano gli intervalli appropriati.
In caso di comportamento sospetto (perdita di connettività dopo un po', regole che cambiano da sole, traffico LAN che si interrompe), prendere in considerazione aggiorna firmwareDisattiva i servizi che non usi (amministrazione remota web/Telnet/SSH), modifica le credenziali, controlla la clonazione MAC se applicabile e, infine, Ripristinare le impostazioni di fabbrica e riconfigurare con impostazioni minime e una whitelist rigorosa.
Note su compatibilità, modelli e disponibilità
La disponibilità di funzionalità (ACL con stato, profili, whitelist, modifica PVID sulle porte, ecc.) Potrebbe dipendere dal modello e dalla versione dell'hardwareIn alcuni dispositivi, come il TL-R600VPN, alcune funzionalità sono disponibili solo dalla versione 4 in poi. Anche le interfacce utente cambiano, ma il processo di base è lo stesso: blocco predefinito. definire servizi e gruppi, consentire l'accesso da IP specifici e bloccare il resto.
All'interno dell'ecosistema TP-Link, sono molti i dispositivi coinvolti nelle reti aziendali. I modelli citati nella documentazione includono: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQtra gli altri. Tieni presente che L'offerta varia a seconda della regione. e alcuni potrebbero non essere disponibili nella tua zona.
Per rimanere aggiornato, visita la pagina di supporto del tuo prodotto, scegli la versione hardware corretta e controlla note sul firmware e specifiche tecniche con gli ultimi miglioramenti. A volte gli aggiornamenti espandono o perfezionano le funzionalità del firewall, dell'ACL o della gestione remota.
chiudi il SSH Per tutti gli IP, fatta eccezione per quelli specifici, organizzare correttamente gli ACL e comprendere quale meccanismo controlla ogni cosa ti salva da spiacevoli sorprese. Con una politica di negazione predefinita, whitelist precise e verifica regolareIl tuo router TP-Link e i servizi ad esso associati saranno molto più protetti senza dover rinunciare alla gestione quando ne hai bisogno.
Appassionato di tecnologia fin da piccolo. Amo aggiornarmi sul settore e, soprattutto, comunicarlo. Per questo da molti anni mi dedico alla comunicazione sui siti web di tecnologia e videogiochi. Puoi trovarmi a scrivere di Android, Windows, MacOS, iOS, Nintendo o qualsiasi altro argomento correlato che ti viene in mente.