- Prioritasake kabijakan nolak standar lan gunakake dhaptar putih kanggo SSH.
- Nggabungke NAT + ACL: mbukak port lan watesan dening IP sumber.
- Verifikasi nganggo nmap/ping lan hormati prioritas aturan (ID).
- Kuwat kanthi nganyari, kunci SSH, lan layanan minimal.
¿Kepiye cara mbatesi akses SSH menyang router TP-Link menyang IP sing dipercaya? Ngontrol sapa sing bisa ngakses jaringan liwat SSH dudu sepele, iku lapisan keamanan sing penting. Idini akses mung saka alamat IP sing dipercaya Iku nyuda lumahing serangan, slows mudhun mindai otomatis, lan nyegah usaha intrusi pancet saka Internet.
Ing pandhuan praktis lan lengkap iki, sampeyan bakal weruh carane nindakake ing macem-macem skenario karo peralatan TP-Link (SMB lan Omada), apa sing kudu dianggep karo aturan ACL lan whitelists, lan carane kanggo verifikasi sing kabeh wis ditutup kanthi bener. Kita nggabungake cara tambahan kayata TCP Wrappers, iptables, lan praktik paling apik supaya sampeyan bisa ngamanake lingkungan tanpa ninggalake sembarang ends ngeculke.
Apa watesan akses SSH ing router TP-Link
Mbukak SSH menyang internet mbukak lawang kanggo nyapu gedhe-gedhe dening bot-bot sing wis penasaran kanthi niat jahat. Iku ora umum kanggo ndeteksi port 22 diakses ing WAN sawise scan, minangka wis diamati ing [conto SSH]. Gagal kritis ing router TP-Link. Printah nmap prasaja bisa digunakake kanggo mriksa yen alamat IP umum sampeyan mbukak port 22.: executes kaya iki ing mesin external nmap -vvv -p 22 TU_IP_PUBLICA lan priksa manawa "mbukak ssh" katon.
Sanajan sampeyan nggunakake kunci umum, mbukak port 22 bakal ngajak eksplorasi luwih lanjut, nguji port liyane, lan nyerang layanan manajemen. Solusi kasebut jelas: nolak kanthi standar lan mung aktifake saka IP utawa kisaran sing diidini.Preferably tetep lan kontrol dening sampeyan. Yen sampeyan ora mbutuhake manajemen remot, mateni kabeh ing WAN.
Saliyane port mbabarake, ana kahanan sing bisa Suspect owahan aturan utawa prilaku anomali (Contone, modem kabel sing wiwit "nyelehake" lalu lintas metu sawise sawetara wektu). Yen sampeyan ngelingi yen ping, traceroute, utawa browsing ora ngliwati modem, priksa setelan, perangkat kukuh, lan nimbang mulihake setelan pabrik. lan nutup kabeh sing ora digunakake.
Model mental: blokir kanthi gawan lan gawe daftar putih
Filosofi menang iku prasaja: standar nolak kabijakan lan pengecualian eksplisitIng akeh router TP-Link kanthi antarmuka sing luwih maju, sampeyan bisa nyetel kabijakan mlebu remot jinis Drop ing firewall, banjur ngidini alamat tartamtu ing dhaptar putih kanggo layanan manajemen.
Ing sistem sing kalebu opsi "Kabijakan Input Jarak Jauh" lan "Aturan Daftar Putih" (ing kaca Jaringan - Firewall), Selehake merek ing kabijakan entri remot Lan tambahake menyang daftar putih IP umum ing format CIDR XXXX/XX sing kudune bisa nggayuh konfigurasi utawa layanan kaya SSH/Telnet/HTTP(S). Entri kasebut bisa ngemot katrangan ringkes supaya ora kebingungan mengko.
Iku penting kanggo ngerti prabédan antarane mekanisme. Port forwarding (NAT/DNAT) pangalihan port menyang mesin LANNalika "Aturan Filter" ngontrol lalu lintas WAN-kanggo-LAN utawa antar-jaringan, "Aturan Daftar Putih" firewall ngatur akses menyang sistem manajemen router. Aturan nyaring ora ngalangi akses menyang piranti dhewe; kanggo sing, sampeyan nggunakake whitelists utawa aturan tartamtu babagan lalu lintas mlebu menyang dalan.
Kanggo ngakses layanan internal, pemetaan port digawe ing NAT banjur diwatesi sing bisa nggayuh pemetaan kasebut saka njaba. Resep kasebut: bukak port sing dibutuhake banjur matesi kanthi kontrol akses. sing ngidini mung sumber sah liwat lan mblokir liyane.
SSH saka IP dipercaya ing TP-Link SMB (ER6120/ER8411 lan padha)
Ing router SMB kayata TL-ER6120 utawa ER8411, pola biasanipun kanggo iklan layanan LAN (contone, SSH ing server internal) lan matesi dening IP sumber loro-phase. Kaping pisanan, port kasebut dibukak nganggo Server Virtual (NAT), banjur disaring nganggo Kontrol Akses. adhedhasar grup IP lan jinis layanan.
Tahap 1 - Server Virtual: pindhah menyang Lanjut → NAT → Server Virtual lan nggawe entri kanggo antarmuka WAN sing cocog. Konfigurasi port eksternal 22 lan arahake menyang alamat IP internal server (contone, 192.168.0.2:22)Simpen aturan kanggo nambah menyang dhaptar. Yen kasus sampeyan nggunakake port sing beda (contone, sampeyan wis ngganti SSH dadi 2222), setel nilai kasebut.
Tahap 2 - Tipe layanan: ketik Preferensi → Jinis Layanan, nggawe layanan anyar disebut, contone, SSH, pilih TCP utawa TCP/UDP lan nemtokake port tujuan 22 (rentang port sumber bisa 0–65535). Lapisan iki bakal ngidini sampeyan ngrujuk port kanthi resik ing ACL.
Tahap 3 - Grup IP: pindhah menyang Preferensi → Grup IP → Alamat IP lan nambah entri kanggo loro sumber sing diidinake (contone. IP umum utawa jangkoan, jenenge "Access_Client") lan sumber daya tujuan (kayata "SSH_Server" karo IP internal server). Banjur nggandhengake saben alamat karo Grup IP sing cocog ing menu sing padha.
Fase 4 – Kontrol akses: ing Firewall → Kontrol Akses Nggawe rong aturan. 1) Allow Rule: Allow policy, layanan "SSH" sing mentas ditetepake, Sumber = grup IP "Access_Client" lan tujuan = "SSH_Server". Menehi ID 1. 2) Aturan Watesan: Block privasi karo sumber = IPGROUP_ANY lan tujuan = "SSH_Server" (utawa minangka ditrapake) karo ID 2. Kanthi cara iki, mung IP dipercaya utawa sawetara bakal pindhah liwat NAT menyang SSH; liyane bakal diblokir.
Urutan evaluasi iku penting. ID ngisor njupuk prioritasMulane, aturan Allow kudu ndhisiki (ID ngisor) aturan Blok. Sawise ngetrapake owah-owahan, sampeyan bakal bisa nyambung menyang alamat IP WAN router ing port sing ditetepake saka alamat IP sing diidini, nanging sambungan saka sumber liya bakal diblokir.
Cathetan model/firmware: Antarmuka bisa beda-beda ing antarane hardware lan versi. TL-R600VPN mbutuhake hardware v4 kanggo nutupi fungsi tartamtuLan ing macem-macem sistem, menu bisa dipindhah. Sanajan mangkono, alirane padha: jinis layanan → grup IP → ACL karo Allow lan Blok. Ojo lali nyimpen lan aplikasi supaya aturan bisa ditrapake.
Verifikasi sing disaranake: Saka alamat IP sing sah, coba ssh usuario@IP_WAN lan verifikasi akses. Saka alamat IP liyane, port kudu ora bisa diakses. (sambungan sing ora teka utawa ditolak, saenipun tanpa spanduk supaya ora menehi pitunjuk).
ACL karo Omada Controller: Dhaptar, Negara, lan Skenario Conto
Yen sampeyan ngatur gateway TP-Link karo Omada Controller, logikane padha nanging kanthi pilihan sing luwih visual. Nggawe grup (IP utawa port), nemtokake ACL gateway, lan ngatur aturan kanggo ngidini minimal lan nolak kabeh liyane.
Dhaptar lan kelompok: ing Setelan → Profil → Grup Sampeyan bisa nggawe grup IP (subnet utawa host, kayata 192.168.0.32/27 utawa 192.168.30.100/32) lan uga grup port (contone, HTTP 80 lan DNS 53). Klompok iki nyederhanakake aturan sing rumit kanthi nggunakake maneh obyek.
Gateway ACL: ing Konfigurasi → Keamanan Jaringan → ACL Nambah aturan karo LAN→WAN, LAN→LAN utawa WAN→LAN arah gumantung saka apa sing arep kanggo nglindhungi. Kabijakan kanggo saben aturan bisa Allow utawa Nolak. lan urutan nemtokake asil nyata. Priksa "Aktifake" kanggo ngaktifake. Sawetara versi ngidini sampeyan ninggalake aturan sing disiapake lan dipateni.
Kasus sing migunani (bisa diadaptasi menyang SSH): mung ngidini layanan tartamtu lan mblokir liyane (contone, Allow DNS lan HTTP banjur Nolak Kabeh). Kanggo dhaptar putih manajemen, gawe Allow saka IP dipercaya menyang "Gateway Administration Page" lan banjur nolak umum saka jaringan liyane. Yen perangkat kukuh sampeyan duwe pilihan kasebut. BidirectionalSampeyan bisa nggawe aturan kuwalik kanthi otomatis.
Status sambungan: ACL bisa dadi stateful. Jinis umum yaiku New, Established, Related, lan Invalid"Anyar" nangani paket pisanan (contone, SYN ing TCP), "Didegake" nangani lalu lintas bidirectional sing sadurunge ditemoni, "Related" nangani sambungan gumantung (kayata saluran data FTP), lan "Invalid" nangani lalu lintas anomali. Umume paling apik kanggo njaga setelan gawan kajaba sampeyan mbutuhake granularitas ekstra.
VLAN lan segmentasi: Dhukungan router Omada lan SMB skenario unidirectional lan bidirectional antarane VLANsSampeyan bisa mblokir Pemasaran → R&D nanging ngidini R&D → Pemasaran, utawa mblokir loro arah lan isih menehi wewenang administrator tartamtu. Arah LAN→LAN ing ACL digunakake kanggo ngontrol lalu lintas antarane subnet internal.
Cara lan bala tambahan: TCP Wrappers, iptables, MikroTik lan firewall klasik
Saliyane ACL router, ana lapisan liyane sing kudu ditrapake, utamane yen tujuan SSH yaiku server Linux ing mburi router. TCP Wrappers ngidini nyaring dening IP karo hosts.allow lan hosts.deny ing layanan sing kompatibel (kalebu OpenSSH ing akeh konfigurasi tradisional).
Kontrol file: yen ora ana, nggawe karo sudo touch /etc/hosts.{allow,deny}. Praktek paling apik: nolak kabeh ing hosts.deny lan kanthi tegas ngidini ing hosts.allow. Contone: ing /etc/hosts.deny pon sshd: ALL lan ing /etc/hosts.allow nambah sshd: 203.0.113.10, 198.51.100.0/24Dadi, mung IP kasebut sing bisa nggayuh daemon SSH server.
Custom iptables: Yen router utawa server ngidini, nambah aturan sing mung nampa SSH saka sumber tartamtu. A aturan khas bakal: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT ngiring dening kabijakan DROP standar utawa aturan sing ngalangi liyane. Ing router karo tab saka Aturan adat Sampeyan bisa nyuntikake garis kasebut lan aplikasi nganggo "Simpen & Aplikasi".
Praktik paling apik ing MikroTik (ditrapake minangka pandhuan umum): ngganti port standar yen bisa, mateni Telnet (mung gunakake SSH), gunakake sandhi sing kuwat utawa, luwih becik, otentikasi kunciMatesi akses nganggo alamat IP nggunakake firewall, aktifake 2FA yen piranti ndhukung, lan supaya firmware / RouterOS dianyari. Pateni akses WAN yen sampeyan ora perluNgawasi upaya sing gagal lan, yen perlu, ngetrapake watesan tingkat sambungan kanggo nyegah serangan brute force.
Antarmuka Klasik TP-Link (Perangkat Firmware Lawas): Mlebu menyang panel nggunakake alamat IP LAN (standar 192.168.1.1) lan kredensial admin/admin, banjur pindhah menyang Keamanan → FirewallAktifake panyaring IP lan pilih paket sing ora ditemtokake miturut kabijakan sing dikarepake. Banjur, ing Filtering Alamat IP, penet "Tambah anyar" lan netepake IP sing bisa utawa ora bisa nggunakake port layanan ing WAN (kanggo SSH, 22/tcp). Simpen saben langkah. Iki ngidini sampeyan ngetrapake penolakan umum lan nggawe pengecualian kanggo ngidini mung IP sing dipercaya.
Blokir IP tartamtu kanthi rute statis
Ing sawetara kasus migunani kanggo mblokir IP sing metu menyang IP tartamtu kanggo nambah stabilitas karo layanan tartamtu (kayata streaming). Salah sawijining cara kanggo nindakake iki ing pirang-pirang piranti TP-Link yaiku liwat rute statis., nggawe / 32 rute sing ora tekan tujuan kasebut utawa ngarahake kanthi cara sing ora bisa digunakake dening rute standar (dhukungan beda-beda miturut perangkat kukuh).
Model paling anyar: pindhah menyang tab Lanjut → Jaringan → Rute Lanjut → Rute Statis banjur pencet "+ Tambah". Ketik "Tujuan Jaringan" karo alamat IP kanggo mblokir, "Subnet Mask" 255.255.255.255, "Default Gateway" gateway LAN (biasane 192.168.0.1) lan "Interface" LAN. Pilih "Allow this entry" lan simpenBaleni kanggo saben alamat IP target gumantung saka layanan sing pengin dikontrol.
Firmware lawas: pindhah menyang Rute lanjutan → Daftar rute statis, pencet "Tambah anyar" lan isi kolom sing padha. Aktifake status rute lan simpenHubungi dhukungan layanan sampeyan kanggo ngerteni IP sing kudu diobati, amarga iki bisa uga owah.
Verifikasi: Bukak terminal utawa command prompt lan nyoba nganggo ping 8.8.8.8 (utawa alamat IP tujuan sing wis diblokir). Yen sampeyan ndeleng "Wanci entek" utawa "Host tujuan ora bisa digayuh"Pamblokiran lagi digunakake. Yen ora, deleng langkah-langkah kasebut lan miwiti maneh router supaya kabeh tabel bisa ditrapake.
Verifikasi, pangujian, lan resolusi kedadeyan
Kanggo verifikasi manawa dhaptar putih SSH sampeyan bisa digunakake, coba gunakake alamat IP sing sah. ssh usuario@IP_WAN -p 22 (utawa port sing sampeyan gunakake) lan konfirmasi akses. Saka alamat IP sing ora sah, port ngirim ora nawakake layanan.. Migunakake nmap -p 22 IP_WAN kanggo mriksa kondisi panas.
Yen ana sing ora nanggapi, priksa prioritas ACL. Aturan diproses kanthi urutan, lan sing duwe ID paling murah menang.A Nolak ndhuwur Allow Panjenengan invalidates whitelist. Uga, priksa manawa "Jenis Layanan" nuduhake port sing bener lan "Grup IP" sampeyan ngemot kisaran sing cocog.
Yen ana prilaku curiga (ilang konektivitas sawise sawetara wektu, aturan sing diganti dhewe, lalu lintas LAN sing mudhun), nimbang nganyari perangkat kukuhPateni layanan sing ora sampeyan gunakake (administrasi web remot/Telnet/SSH), ganti kredensial, priksa kloning MAC yen ana, lan pungkasane, Mulihake menyang setelan pabrik lan reconfigure karo setelan minimal lan whitelist ketat.
Kompatibilitas, model, lan cathetan kasedhiyan
Kasedhiya fitur (ACL stateful, profil, daftar putih, panyuntingan PVID ing port, lsp.) Bisa uga gumantung ing model lan versi hardwareIng sawetara piranti, kayata TL-R600VPN, kapabilitas tartamtu mung kasedhiya saka versi 4 lan sabanjure. Antarmuka pangguna uga ganti, nanging proses dhasar padha: mblokir kanthi gawan, nemtokake layanan lan kelompok, ngidini saka IP tartamtu lan mblokir liyane.
Ing ekosistem TP-Link, ana akeh piranti sing melu jaringan perusahaan. Model sing dikutip ing dokumentasi kalebu T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, 2 T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-8, T3700G T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-2420G, TSL2420G T3700G-28TQ, T1500G-8T, T1700X-28TQantarane liyane. Elinga yen Penawaran beda-beda miturut wilayah. lan sawetara bisa uga ora kasedhiya ing wilayah sampeyan.
Supaya tetep anyar, bukak kaca dhukungan produk sampeyan, pilih versi hardware sing bener, banjur priksa cathetan firmware lan specifications technical karo dandan paling anyar. Kadhangkala nganyari ngembangake utawa nyaring fitur firewall, ACL, utawa manajemen remot.
Tutup ing SSH Kanggo kabeh nanging IP tartamtu, ngatur ACL kanthi bener lan ngerti mekanisme apa sing ngontrol saben bab nylametake sampeyan saka kejutan sing ora nyenengake. Kanthi kabijakan nolak standar, dhaptar putih sing tepat, lan verifikasi biasaRouter TP-Link lan layanan sing ana ing mburine bakal dilindhungi kanthi luwih apik tanpa nyerahake manajemen yen sampeyan butuh.
Hasrat babagan teknologi wiwit cilik. Aku seneng dadi anyar ing sektor kasebut lan, sing paling penting, komunikasi. Pramila aku wis darmabakti kanggo komunikasi ing teknologi lan situs web game video sajrone pirang-pirang taun. Sampeyan bisa nemokake aku nulis babagan Android, Windows, MacOS, iOS, Nintendo utawa topik liyane sing ana gandhengane.