- תן עדיפות למדיניות דחייה המוגדרת כברירת מחדל והשתמש ברשימות לבנות עבור SSH.
- משלב NAT + ACL: פותח את הפורט ומגביל לפי כתובת IP של המקור.
- אמת באמצעות nmap/ping וכבד את עדיפות הכלל (ID).
- התחזק באמצעות עדכונים, מפתחות SSH ושירותים מינימליים.
¿כיצד להגביל גישת SSH לנתב TP-Link לכתובות IP מהימנות? שליטה במי יכול לגשת לרשת שלך דרך SSH אינה גחמה, זוהי שכבת אבטחה חיונית. אפשר גישה רק מכתובות IP מהימנות זה מפחית את משטח ההתקפה, מאט סריקות אוטומטיות ומונע ניסיונות חדירה מתמידים מהאינטרנט.
במדריך מעשי ומקיף זה תראו כיצד לעשות זאת בתרחישים שונים עם ציוד TP-Link (SMB ו-Omada), מה יש לקחת בחשבון בנוגע לחוקי ACL ורשימות לבנות, וכיצד לוודא שהכל סגור כראוי. אנו משלבים שיטות נוספות כגון TCP Wrappers, iptables ושיטות עבודה מומלצות. כך שתוכלו לאבטח את הסביבה שלכם מבלי להשאיר קצוות פתוחים.
למה להגביל גישת SSH בנתבים של TP-Link
חשיפת SSH לאינטרנט פותחת את הדלת לסריקות נרחבות על ידי בוטים סקרנים שכבר עושים זאת, בעלי כוונות זדוניות. לא נדיר לזהות פורט 22 נגיש ברשת ה-WAN לאחר סריקה, כפי שנצפה ב[דוגמאות של SSH]. כשלים קריטיים בנתבים של TP-Link. ניתן להשתמש בפקודת nmap פשוטה כדי לבדוק אם כתובת ה-IP הציבורית שלך כוללת פורט 22 פתוח.מבצע משהו כזה על מכונה חיצונית nmap -vvv -p 22 TU_IP_PUBLICA ותבדוק אם מופיע "פתח ssh".
אפילו אם אתם משתמשים במפתחות ציבוריים, השארת פורט 22 פתוח מזמנת חקירה נוספת, בדיקת פורטים אחרים ותקיפת שירותי ניהול. הפתרון ברור: דחה כברירת מחדל והפעל רק מכתובות IP או טווחים מותרים.עדיף שיהיה קבוע ובשליטה שלך. אם אינך זקוק לניהול מרחוק, השבת אותו לחלוטין ברשת ה-WAN.
בנוסף לחשיפת פורטים, ישנם מצבים בהם ייתכן שתחשוד בשינויי כללים או בהתנהגות חריגה (לדוגמה, מודם כבלים שמתחיל "להוריד" תעבורה יוצאת לאחר זמן מה). אם אתה מבחין ש-ping, traceroute או גלישה אינם עוברים דרך המודם, בדוק את ההגדרות, הקושחה ושקול לשחזר את הגדרות היצרן. וסגור כל מה שאתה לא משתמש בו.
מודל מנטלי: חסימה כברירת מחדל ויצירת רשימה לבנה
פילוסופיית הניצחון פשוטה: מדיניות ברירת מחדל של דחייה וחריגים מפורשיםבנתבים רבים של TP-Link עם ממשק מתקדם, ניתן להגדיר מדיניות כניסה מרחוק מסוג Drop בחומת האש, ולאחר מכן לאפשר כתובות ספציפיות ברשימה הלבנה עבור שירותי ניהול.
במערכות הכוללות אפשרויות "מדיניות קלט מרחוק" ו"כללי רשימה לבנה" (בדפי רשת - חומת אש), מדיניות כניסה מרחוק לזנוח את המותג והוסף לרשימה הלבנה את כתובות ה-IP הציבוריות בפורמט CIDR XXXX/XX שאמורות להיות מסוגלות להגיע לתצורה או לשירותים כמו SSH/Telnet/HTTP(S). ערכים אלה יכולים לכלול תיאור קצר כדי למנוע בלבול בהמשך.
חשוב להבין את ההבדל בין המנגנונים. העברת פורטים (NAT/DNAT) מנתבת פורטים למכונות LANבעוד ש"כללי סינון" שולטים בתעבורה בין רשתות WAN ל-LAN או בין רשתות, "כללי רשימת ההיתרים" של חומת האש שולטים בגישה למערכת הניהול של הנתב. כללי סינון אינם חוסמים גישה למכשיר עצמו; לשם כך, משתמשים ברשימות הלבנות או בכללים ספציפיים בנוגע לתעבורה נכנסת לנתב.
כדי לגשת לשירותים פנימיים, נוצר מיפוי פורטים ב-NAT ואז מוגבל מי יכול להגיע למיפוי הזה מבחוץ. המתכון הוא: לפתוח את הפורט הדרוש ולאחר מכן להגביל אותו באמצעות בקרת גישה. שמאפשר רק למקורות מורשים לעבור וחוסם את השאר.
SSH מכתובות IP מהימנות ב-TP-Link SMB (ER6120/ER8411 ודומיו)
בנתבים של רשתות קטנות ובינוניות כמו TL-ER6120 או ER8411, הדפוס הרגיל לפרסום שירות LAN (למשל, SSH בשרת פנימי) והגבלתו על ידי כתובת IP של המקור הוא דו-פאזי. ראשית, הפורט נפתח באמצעות שרת וירטואלי (NAT), ולאחר מכן הוא מסונן באמצעות בקרת גישה. בהתבסס על קבוצות IP וסוגי שירות.
שלב 1 – שרת וירטואלי: עבור אל מתקדם → NAT → שרת וירטואלי ויוצר ערך עבור ממשק ה-WAN המתאים. הגדר את פורט חיצוני 22 והפנה אותו לכתובת ה-IP הפנימית של השרת (לדוגמה, 192.168.0.2:22)שמור את הכלל כדי להוסיף אותו לרשימה. אם במקרה שלך משתמש בפורט אחר (לדוגמה, שינית את SSH ל-2222), התאם את הערך בהתאם.
שלב 2 – סוג שירות: הזן העדפות → סוג שירות, צור שירות חדש בשם, לדוגמה, SSH, בחר TCP או TCP/UDP ולהגדיר את יציאת היעד 22 (טווח יציאות המקור יכול להיות 0–65535). שכבה זו תאפשר לך להפנות לפורט בצורה נקייה ב-ACL.
שלב 3 – קבוצת IP: עבור אל העדפות ← קבוצת IP ← כתובת IP ולהוסיף ערכים הן עבור המקור המותר (למשל, כתובת ה-IP הציבורית שלך או טווח בשם "Access_Client") והן עבור משאב היעד (למשל, "SSH_Server" עם כתובת ה-IP הפנימית של השרת). לאחר מכן שייך כל כתובת לקבוצת ה-IP המתאימה לה בתוך אותו תפריט.
שלב 4 – בקרת גישה: בפנים חומת אש → בקרת גישה צור שני כללים. 1) כלל אפשר: מדיניות אפשרה, שירות "SSH" שהוגדר לאחרונה, מקור = קבוצת IP "Access_Client" ויעד = "SSH_Server"תן לזה מזהה 1. 2) כלל חסימה: מדיניות חסימה עם מקור = IPGROUP_ANY ויעד = “SSH_Server” (או לפי הצורך) עם מזהה 2. בדרך זו, רק כתובת ה-IP או הטווח המהימנים יעברו דרך ה-NAT ל-SSH שלך; השאר ייחסמו.
סדר ההערכה הוא קריטי. מספרי זיהוי נמוכים יותר מקבלים עדיפותלכן, כלל "האפשר" חייב להקדים (מזהה תחתון) את כלל "חסימה". לאחר החלת השינויים, תוכלו להתחבר לכתובת ה-IP של הנתב ביציאה המוגדרת מכתובת ה-IP המותרת, אך חיבורים ממקורות אחרים ייחסמו.
הערות על דגם/קושחה: הממשק עשוי להשתנות בין חומרה לגרסאות. TL-R600VPN דורש חומרה גרסה 4 כדי לכסות פונקציות מסוימותובמערכות שונות, ייתכן שהתפריטים יעברו למיקום אחר. למרות זאת, הזרימה זהה: סוג שירות → קבוצות IP → ACL עם היתר וחסימה. אל תשכחו לשמור ולהחיל כדי שהכללים ייכנסו לתוקף.
אימות מומלץ: מכתובת ה-IP המורשית, נסה ssh usuario@IP_WAN ולאמת את הגישה. מכתובת IP אחרת, הפורט אמור להפוך בלתי נגיש. (חיבור שלא מגיע או נדחה, רצוי ללא באנר כדי להימנע ממתן רמזים).
ACL עם בקר Omada: רשימות, מצבים ותרחישי דוגמה
אם אתם מנהלים שערי TP-Link עם בקר Omada, ההיגיון דומה אך עם יותר אפשרויות ויזואליות. צור קבוצות (IP או פורטים), הגדרת רשימות בקרת גישה (ACL) לשערים וארגון הכללים לאפשר את המינימום ההכרחי ולשלול כל השאר.
רשימות וקבוצות: ב הגדרות ← פרופילים ← קבוצות ניתן ליצור קבוצות IP (רשתות משנה או רשתות מארח, כגון 192.168.0.32/27 או 192.168.30.100/32) וגם קבוצות פורטים (לדוגמה, HTTP 80 ו-DNS 53). קבוצות אלו מפשטות כללים מורכבים על ידי שימוש חוזר בחפצים.
בקרת גישה לשער: מופעלת תצורה ← אבטחת רשת ← ACL הוסף כללים עם כיוון LAN→WAN, LAN→LAN או WAN→LAN בהתאם למה שברצונך להגן. המדיניות עבור כל כלל יכולה להיות אפשר או דחה. והסדר קובע את התוצאה בפועל. סמן "הפעל" כדי להפעיל אותם. גרסאות מסוימות מאפשרות לך להשאיר כללים מוכנים ומושבתים.
מקרים שימושיים (ניתנים להתאמה ל-SSH): אפשרו רק שירותים ספציפיים וחסמו את השאר (למשל, אפשרו DNS ו-HTTP ואז דחו הכל). עבור רשימות לבנות של ניהול, צור אפשרות "אפשר מכתובות IP מהימנות" ל"דף ניהול שער" ואז דחייה כללית מהרשתות האחרות. אם הקושחה שלך כוללת אפשרות זו. דו - כיווניניתן ליצור באופן אוטומטי את הכלל ההפוך.
סטטוס חיבור: רשימות ACL יכולות להיות בעלות מצב (stateful). הסוגים הנפוצים הם חדשים, מבוססים, קשורים ולא תקפים"חדש" מטפל בחבילה הראשונה (למשל, SYN ב-TCP), "נוצר" מטפל בתעבורה דו-כיוונית שנתקלה בה בעבר, "קשור" מטפל בחיבורים תלויים (כגון ערוצי נתונים של FTP), ו-"לא חוקי" מטפל בתעבורה חריגה. בדרך כלל עדיף לשמור את הגדרות ברירת המחדל אלא אם כן אתה זקוק לפירוט נוסף.
VLAN ופילוח: תמיכה בנתבים של Omada ו-SMB תרחישים חד כיווניים ודו כיווניים בין VLANsניתן לחסום את Marketing→R&D אך לאפשר R&D→Marketing, או לחסום את שני הכיוונים ועדיין להעניק הרשאה למנהל ספציפי. כיוון LAN→LAN ב-ACL משמש לשליטה בתעבורה בין תת-רשתות פנימיות.
שיטות וחיזוקים נוספים: TCP Wrappers, iptables, MikroTik וחומת אש קלאסית
בנוסף ל-ACL של הנתב, ישנן שכבות נוספות שיש להחיל, במיוחד אם יעד ה-SSH הוא שרת לינוקס מאחורי הנתב. TCP Wrappers מאפשר סינון לפי כתובת IP עם hosts.allow ו-hosts.deny על שירותים תואמים (כולל OpenSSH בתצורות מסורתיות רבות).
קבצי בקרה: אם הם אינם קיימים, צור אותם באמצעות sudo touch /etc/hosts.{allow,deny}. שיטה מומלצת: מנע הכל ב-hosts.deny ומאפשר זאת במפורש ב-hosts.allow. לדוגמה: ב- /etc/hosts.deny pon sshd: ALL ו /etc/hosts.allow להוסיף sshd: 203.0.113.10, 198.51.100.0/24לכן, רק כתובות ה-IP הללו יוכלו להגיע לדמון ה-SSH של השרת.
iptables מותאמים אישית: אם הנתב או השרת שלך מאפשרים זאת, הוסף כללים שמקבלים SSH רק ממקורות ספציפיים. כלל טיפוסי יהיה: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT ואחריה מדיניות DROP ברירת מחדל או כלל שחוסם את השאר. בנתבים עם טאב של כללים מותאמים אישית ניתן להזריק את השורות הללו ולהחיל אותן באמצעות "שמירה והחלה".
שיטות עבודה מומלצות ב-MikroTik (ישים כמדריך כללי): שנה פורטים ברירת מחדל במידת האפשר, בטל את טלנט (השתמשו רק ב-SSH), השתמשו בסיסמאות חזקות או, עדיף, אימות מפתחהגבל את הגישה לפי כתובת IP באמצעות חומת האש, הפעל 2FA אם המכשיר תומך בכך, ושמור על הקושחה/מערכת ההפעלה של הנתב מעודכנת. השבת גישת WAN אם אינך זקוק לההוא עוקב אחר ניסיונות כושלים, ובמידת הצורך, מחיל מגבלות קצב חיבור כדי לרסן התקפות כוח ברוט.
ממשק קלאסי של TP-Link (קושחה ישנה יותר): התחבר לפאנל באמצעות כתובת ה-IP של ה-LAN (ברירת מחדל 192.168.1.1) ופרטי מנהל/מנהל מערכת, לאחר מכן עבור אל אבטחה → חומת אשהפעל את מסנן ה-IP ובחר שמנות שלא צוינו יפעלו לפי המדיניות הרצויה. לאחר מכן, ב סינון כתובות IP, לחצו על "הוסיפו חדש" והגדירו אילו כתובות IP יכולות או לא יכולות להשתמש בפורט השירות ברשת ה-WAN (עבור SSH, 22/tcp). שמור כל שלב. זה מאפשר לך להחיל דחייה כללית וליצור חריגים כדי לאפשר רק כתובות IP מהימנות.
חסום כתובות IP ספציפיות באמצעות נתיבים סטטיים
במקרים מסוימים, כדאי לחסום יציאות לכתובות IP ספציפיות כדי לשפר את היציבות עם שירותים מסוימים (כגון סטרימינג). דרך אחת לעשות זאת על מספר מכשירי TP-Link היא באמצעות ניתוב סטטי., יצירת מסלולי /32 אשר נמנעים מהגעה ליעדים אלה או מכוונים אותם באופן כזה שהם לא נצרכים על ידי מסלול ברירת המחדל (התמיכה משתנה בהתאם לקושחה).
דגמים אחרונים: עבור ללשונית מתקדם ← רשת ← ניתוב מתקדם ← ניתוב סטטי ולחץ על "+ הוסף". הזן "יעד רשת" עם כתובת ה-IP לחסימה, "מסיכת רשת משנה" 255.255.255.255, "שער ברירת מחדל" עם שער ה-LAN (בדרך כלל 192.168.0.1) ו"ממשק" עם LAN. בחר "אפשר ערך זה" ושמורחזור על הפעולה עבור כל כתובת IP יעד, בהתאם לשירות שברצונך לשלוט בו.
קושחות ישנות יותר: עבור אל ניתוב מתקדם → רשימת ניתוב סטטית, לחצו על "הוסיפו חדש" ומלאו את אותם השדות. הפעלת סטטוס מסלול ושמירההתייעץ עם תמיכת השירות שלך כדי לברר אילו כתובות IP לטפל בהן, מכיוון שהן עשויות להשתנות.
אימות: פתח מסוף או שורת פקודה ובדוק עם ping 8.8.8.8 (או כתובת ה-IP של היעד שחסמת). אם אתה רואה "פסק זמן" או "מארח יעד אינו ניתן להשגה"החסימה פועלת. אם לא, עברו על השלבים והפעילו מחדש את הנתב כדי שכל הטבלאות ייכנסו לתוקף.
אימות, בדיקות ופתרון אירועים
כדי לוודא שרשימת ההיתרים של SSH שלך פועלת, נסה להשתמש בכתובת IP מורשית. ssh usuario@IP_WAN -p 22 (או הפורט בו אתה משתמש) ואשר את הגישה. מכתובת IP לא מורשית, הפורט לא אמור להציע שירות.. ארה"ב nmap -p 22 IP_WAN כדי לבדוק את מצב החום.
אם משהו לא מגיב כראוי, בדוק את עדיפות ה-ACL. הכללים מעובדים ברצף, ואלו עם המזהה הנמוך ביותר מנצחים.אפשרות "דחייה" מעל האפשרות "היתר" מבטלת את רשימת ההיתרים. כמו כן, בדוק ש"סוג השירות" מצביע על היציאה הנכונה וש"קבוצות ה-IP" שלך מכילות את הטווחים המתאימים.
במקרה של התנהגות חשודה (אובדן קישוריות לאחר זמן מה, כללים שמשתנים מעצמם, תעבורת רשת מקומית שיורדת), יש לשקול עדכן את הקושחההשבת שירותים שאינך משתמש בהם (ניהול אינטרנט/Telnet/SSH מרחוק), שנה אישורים, בדוק שכפול MAC אם רלוונטי, ובסופו של דבר, שחזר להגדרות היצרן וקבע מחדש את התצורה עם הגדרות מינימליות ורשימה לבנה קפדנית.
הערות על תאימות, דגמים וזמינות
זמינות התכונות (רשימות ACL בעלות סטטוס, פרופילים, רשימות לבנות, עריכת PVID בפורטים וכו') זה עשוי להיות תלוי בדגם החומרה ובגרסהבמכשירים מסוימים, כמו ה-TL-R600VPN, יכולות מסוימות זמינות רק מגרסה 4 ואילך. גם ממשקי המשתמש משתנים, אך התהליך הבסיסי זהה: חסימה כברירת מחדל, הגדרת שירותים וקבוצות, לאפשר מכתובות IP ספציפיות ולחסום את השאר.
בתוך המערכת האקולוגית של TP-Link, ישנם מכשירים רבים המעורבים ברשתות ארגוניות. המודלים המצוטטים בתיעוד כוללים T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, SG412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T372Q0G0, T37000G0 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, פסטה FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQבין היתר. זכור כי ההיצע משתנה בהתאם לאזור. וייתכן שחלקם לא יהיו זמינים באזור שלך.
כדי להישאר מעודכנים, בקרו בדף התמיכה של המוצר שלכם, בחרו את גרסת החומרה הנכונה ובדקו הערות קושחה ומפרטים טכניים עם השיפורים האחרונים. לעיתים עדכונים מרחיבים או משפרים את תכונות חומת האש, בקרת גישה (ACL) או ניהול מרחוק.
סגור את SSH עבור כל כתובות ה-IP מלבד כתובות IP ספציפיות, ארגון נכון של רשימות ACL והבנת המנגנון השולט בכל דבר חוסכים לכם הפתעות לא נעימות. עם מדיניות דחייה ברירת מחדל, רשימות לבנות מדויקות ואימות קבועהנתב שלך מ-TP-Link והשירותים שמאחוריו יהיו מוגנים הרבה יותר טוב מבלי לוותר על ניהול כשתזדקק לו.
נלהב לטכנולוגיה מאז שהיה קטן. אני אוהב להיות מעודכן במגזר ומעל הכל לתקשר אותו. לכן אני מוקדש לתקשורת באתרי טכנולוגיה ומשחקי וידאו כבר שנים רבות. אתה יכול למצוא אותי כותב על אנדרואיד, Windows, MacOS, iOS, נינטנדו או כל נושא אחר שעולה על דעתך.