- កំណត់អាទិភាពគោលការណ៍បដិសេធលំនាំដើម និងប្រើបញ្ជីសសម្រាប់ SSH ។
- ផ្សំ NAT + ACL៖ បើកច្រក និងកំណត់ដោយ IP ប្រភព។
- ផ្ទៀងផ្ទាត់ដោយប្រើ nmap/ping និងគោរពច្បាប់អាទិភាព (ID)។
- ពង្រឹងជាមួយនឹងការអាប់ដេត សោ SSH និងសេវាកម្មអប្បបរមា។
¿តើធ្វើដូចម្តេចដើម្បីដាក់កម្រិតការចូលប្រើ SSH ទៅកាន់រ៉ោតទ័រ TP-Link ទៅ IPs ដែលអាចទុកចិត្តបាន? ការត្រួតពិនិត្យថាតើអ្នកណាអាចចូលប្រើបណ្តាញរបស់អ្នកតាមរយៈ SSH មិនមែនជាការចង់បាននោះទេ វាជាស្រទាប់សុវត្ថិភាពដ៏សំខាន់មួយ។ អនុញ្ញាតឱ្យចូលប្រើតែពីអាសយដ្ឋាន IP ដែលអាចទុកចិត្តបាន។ វាកាត់បន្ថយផ្ទៃនៃការវាយប្រហារ បន្ថយល្បឿនស្កេនដោយស្វ័យប្រវត្តិ និងការពារការប៉ុនប៉ងឈ្លានពានឥតឈប់ឈរពីអ៊ីនធឺណិត។
នៅក្នុងការណែនាំជាក់ស្តែង និងទូលំទូលាយនេះ អ្នកនឹងឃើញពីរបៀបធ្វើវានៅក្នុងសេណារីយ៉ូផ្សេងៗជាមួយឧបករណ៍ TP-Link (SMB និង Omada) អ្វីដែលត្រូវពិចារណាជាមួយច្បាប់ ACL និងបញ្ជីស និងរបៀបផ្ទៀងផ្ទាត់ថាអ្វីៗទាំងអស់ត្រូវបានបិទយ៉ាងត្រឹមត្រូវ។ យើងរួមបញ្ចូលវិធីសាស្រ្តបន្ថែមដូចជា TCP Wrappers, iptables និងការអនុវត្តល្អបំផុត ដូច្នេះអ្នកអាចធានាបាននូវបរិស្ថានរបស់អ្នកដោយមិនបន្សល់ទុកអ្វីដែលរលុង។
ហេតុអ្វីបានជាកំណត់ការចូលប្រើ SSH នៅលើរ៉ោតទ័រ TP-Link
ការលាតត្រដាង SSH ទៅកាន់អ៊ីនធឺណិត បើកទ្វារឆ្ពោះទៅរកការពង្រីកដ៏ធំដោយរូបយន្តដែលចង់ដឹងចង់ឃើញរួចហើយ ជាមួយនឹងចេតនាព្យាបាទ។ វាមិនមែនជារឿងចម្លែកទេក្នុងការរកឃើញច្រក 22 ដែលអាចចូលប្រើបាននៅលើ WAN បន្ទាប់ពីការស្កេន ដូចដែលត្រូវបានគេសង្កេតឃើញនៅក្នុង [ឧទាហរណ៍នៃ SSH] ។ ការបរាជ័យដ៏សំខាន់នៅក្នុងរ៉ោតទ័រ TP-Link. ពាក្យបញ្ជា nmap សាមញ្ញអាចត្រូវបានប្រើដើម្បីពិនិត្យមើលថាតើអាសយដ្ឋាន IP សាធារណៈរបស់អ្នកមានច្រក 22 បើកដែរឬទេ។៖ ប្រតិបត្តិអ្វីមួយដូចនេះនៅលើម៉ាស៊ីនខាងក្រៅ nmap -vvv -p 22 TU_IP_PUBLICA ហើយពិនិត្យមើលថាតើ "open ssh" លេចឡើង។
ទោះបីជាអ្នកប្រើសោសាធារណៈក៏ដោយ ការទុកច្រក 22 បើកចំហ អញ្ជើញការរុករកបន្ថែម សាកល្បងច្រកផ្សេងទៀត និងសេវាកម្មគ្រប់គ្រងការវាយប្រហារ។ ដំណោះស្រាយគឺច្បាស់លាស់៖ បដិសេធតាមលំនាំដើម ហើយបើកតែពី IPs ឬជួរដែលបានអនុញ្ញាតប៉ុណ្ណោះ។និយមជួសជុល និងគ្រប់គ្រងដោយអ្នក។ ប្រសិនបើអ្នកមិនត្រូវការការគ្រប់គ្រងពីចម្ងាយទេ សូមបិទវាទាំងស្រុងនៅលើ WAN។
បន្ថែមពីលើការលាតត្រដាងច្រក មានស្ថានភាពដែលអ្នកអាចសង្ស័យថាមានការផ្លាស់ប្តូរច្បាប់ ឬអាកប្បកិរិយាមិនប្រក្រតី (ឧទាហរណ៍ ម៉ូដឹមខ្សែដែលចាប់ផ្តើម "ទម្លាក់" ចរាចរចេញបន្ទាប់ពីមួយរយៈ)។ ប្រសិនបើអ្នកសម្គាល់ឃើញថា ping, traceroute, ឬការរុករកមិនឆ្លងកាត់ម៉ូដឹមទេ សូមពិនិត្យមើលការកំណត់ កម្មវិធីបង្កប់ ហើយពិចារណាលើការស្ដារការកំណត់របស់រោងចក្រឡើងវិញ។ ហើយបិទអ្វីគ្រប់យ៉ាងដែលអ្នកមិនប្រើ។
គំរូផ្លូវចិត្ត៖ ទប់ស្កាត់តាមលំនាំដើម ហើយបង្កើតបញ្ជីស
ទស្សនវិជ្ជាឈ្នះៗគឺសាមញ្ញ៖ លំនាំដើមបដិសេធគោលការណ៍ និងការលើកលែងជាក់ស្តែងនៅលើរ៉ោតទ័រ TP-Link ជាច្រើនដែលមានចំណុចប្រទាក់កម្រិតខ្ពស់ អ្នកអាចកំណត់គោលការណ៍ចូលពីចម្ងាយប្រភេទទម្លាក់ក្នុងជញ្ជាំងភ្លើង ហើយបន្ទាប់មកអនុញ្ញាតអាសយដ្ឋានជាក់លាក់ក្នុងបញ្ជីសសម្រាប់សេវាកម្មគ្រប់គ្រង។
នៅលើប្រព័ន្ធដែលរួមបញ្ចូលជម្រើស "គោលការណ៍បញ្ចូលពីចម្ងាយ" និង "ច្បាប់បញ្ជីស" (នៅលើបណ្តាញ - ទំព័រជញ្ជាំងភ្លើង) ទម្លាក់ម៉ាកនៅក្នុងគោលការណ៍ចូលពីចម្ងាយ ហើយបន្ថែមទៅក្នុងបញ្ជីស IPs សាធារណៈក្នុងទម្រង់ CIDR XXXX/XX ដែលគួរតែអាចទៅដល់ការកំណត់រចនាសម្ព័ន្ធ ឬសេវាកម្មដូចជា SSH/Telnet/HTTP(S)។ ធាតុទាំងនេះអាចរួមបញ្ចូលការពិពណ៌នាសង្ខេប ដើម្បីជៀសវាងការភ័ន្តច្រឡំនៅពេលក្រោយ។
វាមានសារៈសំខាន់ណាស់ក្នុងការយល់ដឹងពីភាពខុសគ្នារវាងយន្តការ។ ការបញ្ជូនបន្តច្រក (NAT/DNAT) បញ្ជូនបន្តច្រកទៅកាន់ម៉ាស៊ីន LANខណៈពេលដែល "ច្បាប់តម្រង" គ្រប់គ្រង WAN-to-LAN ឬចរាចរអន្តរបណ្តាញ "ច្បាប់បញ្ជីស" របស់ជញ្ជាំងភ្លើងគ្រប់គ្រងការចូលទៅកាន់ប្រព័ន្ធគ្រប់គ្រងរបស់រ៉ោតទ័រ។ ច្បាប់តម្រងមិនរារាំងការចូលប្រើឧបករណ៍ខ្លួនវាទេ។ សម្រាប់នោះ អ្នកប្រើបញ្ជីស ឬច្បាប់ជាក់លាក់ទាក់ទងនឹងចរាចរចូលទៅកាន់រ៉ោតទ័រ។
ដើម្បីចូលប្រើសេវាកម្មខាងក្នុង ផែនទីច្រកត្រូវបានបង្កើតនៅក្នុង NAT ហើយបន្ទាប់មកវាមានកំណត់ថាអ្នកណាអាចទៅដល់ផែនទីនោះពីខាងក្រៅ។ រូបមន្តគឺ៖ បើកច្រកចាំបាច់ ហើយបន្ទាប់មកដាក់កម្រិតវាជាមួយនឹងការគ្រប់គ្រងការចូលប្រើ។ ដែលអនុញ្ញាតឱ្យតែប្រភពដែលមានការអនុញ្ញាតប៉ុណ្ណោះឆ្លងកាត់ និងរារាំងកន្លែងដែលនៅសល់។
SSH ពី IPs ដែលអាចទុកចិត្តបាននៅលើ TP-Link SMB (ER6120/ER8411 និងស្រដៀងគ្នា)
នៅក្នុងរ៉ោតទ័រ SMB ដូចជា TL-ER6120 ឬ ER8411 លំនាំធម្មតាសម្រាប់ការផ្សាយពាណិជ្ជកម្មសេវា LAN (ឧ. SSH នៅលើម៉ាស៊ីនមេខាងក្នុង) និងការកំណត់វាដោយ IP ប្រភពគឺពីរដំណាក់កាល។ ដំបូងច្រកត្រូវបានបើកជាមួយម៉ាស៊ីនមេនិម្មិត (NAT) ហើយបន្ទាប់មកវាត្រូវបានត្រងដោយប្រើការគ្រប់គ្រងការចូលដំណើរការ។ ផ្អែកលើក្រុម IP និងប្រភេទសេវាកម្ម។
ដំណាក់កាលទី 1 - ម៉ាស៊ីនមេនិម្មិត៖ ចូលទៅកាន់ កម្រិតខ្ពស់ → NAT → ម៉ាស៊ីនមេនិម្មិត និងបង្កើតធាតុសម្រាប់ចំណុចប្រទាក់ WAN ដែលត្រូវគ្នា។ កំណត់រចនាសម្ព័ន្ធច្រកខាងក្រៅ 22 ហើយចង្អុលវាទៅអាសយដ្ឋាន IP ខាងក្នុងរបស់ម៉ាស៊ីនមេ (ឧទាហរណ៍ 192.168.0.2:22)រក្សាទុកច្បាប់ដើម្បីបន្ថែមវាទៅក្នុងបញ្ជី។ ប្រសិនបើករណីរបស់អ្នកប្រើច្រកផ្សេង (ឧ. អ្នកបានប្តូរ SSH ទៅ 2222) សូមកែតម្រូវតម្លៃទៅតាមនោះ។
ដំណាក់កាលទី 2 - ប្រភេទសេវាកម្ម៖ បញ្ចូល ចំណូលចិត្ត → ប្រភេទសេវាកម្មបង្កើតសេវាកម្មថ្មីមួយហៅថាឧទាហរណ៍ SSH ជ្រើសរើស TCP ឬ TCP/UDP ហើយកំណត់ច្រកគោលដៅ 22 (ជួរច្រកប្រភពអាចជា 0-65535) ។ ស្រទាប់នេះនឹងអនុញ្ញាតឱ្យអ្នកយោងច្រកយ៉ាងស្អាតនៅក្នុង ACL.
ដំណាក់កាលទី 3 - ក្រុម IP៖ ចូលទៅកាន់ ចំណូលចិត្ត → ក្រុម IP → អាសយដ្ឋាន IP ហើយបន្ថែមធាតុសម្រាប់ទាំងប្រភពដែលបានអនុញ្ញាត (ឧ. IP សាធារណៈរបស់អ្នក ឬជួរមួយដែលមានឈ្មោះថា "Access_Client") និងធនធានទិសដៅ (ឧ. "SSH_Server" ជាមួយ IP ខាងក្នុងរបស់ម៉ាស៊ីនមេ)។ បន្ទាប់មកភ្ជាប់អាសយដ្ឋាននីមួយៗជាមួយក្រុម IP ដែលត្រូវគ្នា។ នៅក្នុងម៉ឺនុយដូចគ្នា។
ដំណាក់កាលទី 4 - ការគ្រប់គ្រងការចូលប្រើ: ក្នុង ជញ្ជាំងភ្លើង → ការគ្រប់គ្រងការចូលប្រើ បង្កើតច្បាប់ពីរ។ 1) អនុញ្ញាតច្បាប់៖ អនុញ្ញាតគោលការណ៍ សេវាកម្ម "SSH" ដែលបានកំណត់ថ្មី ប្រភព = ក្រុម IP "Access_Client" និងទិសដៅ = "SSH_Server". ផ្តល់ឱ្យវានូវ ID 1. 2) Blocking Rule: Block policy with ប្រភព = IPGROUP_ANY និងទិសដៅ = "SSH_Server" (ឬតាមដែលអាចអនុវត្តបាន) ជាមួយលេខសម្គាល់ 2. វិធីនេះ មានតែ IP ឬជួរដែលជឿទុកចិត្តប៉ុណ្ណោះដែលនឹងឆ្លងកាត់ NAT ទៅកាន់ SSH របស់អ្នក។ នៅសល់នឹងត្រូវបានរារាំង។
លំដាប់នៃការវាយតម្លៃមានសារៈសំខាន់ណាស់។ លេខសម្គាល់ទាបមានអាទិភាពដូច្នេះ ច្បាប់អនុញ្ញាតត្រូវតែនាំមុខ (លេខសម្គាល់ខាងក្រោម) ក្បួនទប់ស្កាត់។ បន្ទាប់ពីអនុវត្តការផ្លាស់ប្តូរ អ្នកនឹងអាចភ្ជាប់ទៅអាសយដ្ឋាន WAN IP របស់រ៉ោតទ័រនៅលើច្រកដែលបានកំណត់ពីអាសយដ្ឋាន IP ដែលអនុញ្ញាត ប៉ុន្តែការតភ្ជាប់ពីប្រភពផ្សេងទៀតនឹងត្រូវបានរារាំង។
កំណត់សម្គាល់ម៉ូដែល/កម្មវិធីបង្កប់៖ ចំណុចប្រទាក់អាចប្រែប្រួលរវាងផ្នែករឹង និងកំណែ។ TL-R600VPN ទាមទារផ្នែករឹង v4 ដើម្បីគ្របដណ្តប់មុខងារជាក់លាក់ហើយនៅលើប្រព័ន្ធផ្សេងៗ ម៉ឺនុយអាចត្រូវបានផ្លាស់ប្តូរទីតាំង។ ទោះបីជាដូច្នេះក៏ដោយ លំហូរគឺដូចគ្នា៖ ប្រភេទសេវាកម្ម → ក្រុម IP → ACL ជាមួយអនុញ្ញាត និងទប់ស្កាត់។ កុំភ្លេច រក្សាទុកនិងអនុវត្ត ដើម្បីឱ្យច្បាប់ចូលជាធរមាន។
ការផ្ទៀងផ្ទាត់ដែលបានណែនាំ៖ ពីអាសយដ្ឋាន IP ដែលមានការអនុញ្ញាត សូមសាកល្បង ssh usuario@IP_WAN និងផ្ទៀងផ្ទាត់ការចូលប្រើ។ ពីអាសយដ្ឋាន IP ផ្សេងទៀត ច្រកគួរតែមិនអាចចូលដំណើរការបាន។ (ការតភ្ជាប់ដែលមិនមកដល់ ឬត្រូវបានច្រានចោល តាមឧត្ដមគតិដោយគ្មានបដា ដើម្បីជៀសវាងការផ្តល់តម្រុយ)។
ACL ជាមួយ Omada Controller៖ បញ្ជី រដ្ឋ និងឧទាហរណ៍ សេណារីយ៉ូ
ប្រសិនបើអ្នកគ្រប់គ្រងច្រកផ្លូវ TP-Link ជាមួយ Omada Controller នោះតក្កវិជ្ជាគឺស្រដៀងគ្នា ប៉ុន្តែមានជម្រើសដែលមើលឃើញច្រើន។ បង្កើតក្រុម (IP ឬច្រក) កំណត់ច្រកផ្លូវ ACLs និងរៀបចំច្បាប់ អនុញ្ញាតឱ្យអប្បបរមាទទេ ហើយបដិសេធអ្វីៗផ្សេងទៀត។
បញ្ជី និងក្រុម៖ ក្នុង ការកំណត់ → ប្រវត្តិរូប → ក្រុម អ្នកអាចបង្កើតក្រុម IP (បណ្តាញរង ឬម៉ាស៊ីនដូចជា 192.168.0.32/27 ឬ 192.168.30.100/32) និងក្រុមច្រកផងដែរ (ឧទាហរណ៍ HTTP 80 និង DNS 53) ។ ក្រុមទាំងនេះធ្វើឱ្យច្បាប់ស្មុគស្មាញសាមញ្ញ ដោយប្រើវត្ថុឡើងវិញ។
ច្រកផ្លូវ ACL៖ បើក ការកំណត់រចនាសម្ព័ន្ធ → សុវត្ថិភាពបណ្តាញ → ACL បន្ថែមច្បាប់ជាមួយ LAN → WAN LAN → LAN ឬ WAN → LAN ទិសដៅអាស្រ័យលើអ្វីដែលអ្នកចង់ការពារ។ គោលការណ៍សម្រាប់វិធាននីមួយៗអាចត្រូវបានអនុញ្ញាត ឬបដិសេធ។ ហើយលំដាប់កំណត់លទ្ធផលជាក់ស្តែង។ ធីក "បើកដំណើរការ" ដើម្បីធ្វើឱ្យពួកវាសកម្ម។ កំណែមួយចំនួនអនុញ្ញាតឱ្យអ្នកចាកចេញពីច្បាប់ដែលបានរៀបចំ និងបិទ។
ករណីដែលមានប្រយោជន៍ (អាចសម្របបានទៅនឹង SSH)៖ អនុញ្ញាតតែសេវាកម្មជាក់លាក់ប៉ុណ្ណោះ ហើយរារាំងអ្វីដែលនៅសល់ (ឧ. អនុញ្ញាត DNS និង HTTP ហើយបន្ទាប់មកបដិសេធទាំងអស់)។ សម្រាប់បញ្ជីសនៃការគ្រប់គ្រង បង្កើតអនុញ្ញាតពី IPs ដែលអាចទុកចិត្តបានទៅ "ទំព័រគ្រប់គ្រងច្រកផ្លូវ" ហើយបន្ទាប់មកការបដិសេធជាទូទៅពីបណ្តាញផ្សេងទៀត។ ប្រសិនបើកម្មវិធីបង្កប់របស់អ្នកមានជម្រើសនោះ។ Bidirectionalអ្នកអាចបង្កើតច្បាប់បញ្ច្រាសដោយស្វ័យប្រវត្តិ។
ស្ថានភាពការតភ្ជាប់៖ ACLs អាចជាស្ថានភាព។ ប្រភេទទូទៅគឺថ្មី បង្កើត ពាក់ព័ន្ធ និងមិនត្រឹមត្រូវ"ថ្មី" គ្រប់គ្រងកញ្ចប់ព័ត៌មានដំបូង (ឧ. SYN ក្នុង TCP) "បានបង្កើតឡើង" ដោះស្រាយការចរាចរទ្វេទិសពីមុន "ដែលទាក់ទង" គ្រប់គ្រងការភ្ជាប់អាស្រ័យ (ដូចជាបណ្តាញទិន្នន័យ FTP) និង "មិនត្រឹមត្រូវ" ដោះស្រាយចរាចរណ៍មិនប្រក្រតី។ ជាទូទៅវាជាការល្អបំផុតក្នុងការរក្សាការកំណត់លំនាំដើម លុះត្រាតែអ្នកទាមទារព័ត៌មានលម្អិតបន្ថែម។
VLAN និងការបែងចែក៖ Omada និង SMB routers គាំទ្រ សេណារីយ៉ូ unidirectional និង bidirectional scenarios រវាង VLANsអ្នកអាចរារាំងទីផ្សារ → R&D ប៉ុន្តែអនុញ្ញាតឱ្យ R&D → ទីផ្សារ ឬរារាំងទិសដៅទាំងពីរ ហើយនៅតែអនុញ្ញាតអ្នកគ្រប់គ្រងជាក់លាក់។ ទិសដៅ LAN → LAN នៅក្នុង ACL ត្រូវបានប្រើដើម្បីគ្រប់គ្រងចរាចរណ៍រវាងបណ្តាញរងខាងក្នុង។
វិធីសាស្រ្ត និងការពង្រឹងបន្ថែម៖ TCP Wrappers, iptables, MikroTik និងជញ្ជាំងភ្លើងបុរាណ
បន្ថែមពីលើ ACL របស់រ៉ោតទ័រ មានស្រទាប់ផ្សេងទៀតដែលគួរតែត្រូវបានអនុវត្ត ជាពិសេសប្រសិនបើទិសដៅ SSH គឺជាម៉ាស៊ីនមេលីនុចនៅពីក្រោយរ៉ោតទ័រ។ TCP Wrappers អនុញ្ញាតឱ្យត្រងតាម IP ជាមួយ hosts.allow និង hosts.deny នៅលើសេវាកម្មដែលត្រូវគ្នា (រួមទាំង OpenSSH នៅក្នុងការកំណត់រចនាសម្ព័ន្ធប្រពៃណីជាច្រើន)។
គ្រប់គ្រងឯកសារ៖ ប្រសិនបើពួកវាមិនមានទេ បង្កើតពួកវាជាមួយ sudo touch /etc/hosts.{allow,deny}. ការអនុវត្តល្អបំផុត៖ បដិសេធអ្វីគ្រប់យ៉ាងនៅក្នុង hosts.deny ហើយអនុញ្ញាតយ៉ាងច្បាស់នៅក្នុង host.allow ។ ឧទាហរណ៍៖ ក្នុង /etc/hosts.deny pon ។ sshd: ALL និងនៅ /etc/hosts.allow បន្ថែម។ sshd: 203.0.113.10, 198.51.100.0/24ដូច្នេះមានតែ IPs ទាំងនោះប៉ុណ្ណោះដែលនឹងអាចទៅដល់ដេមិន SSH របស់ម៉ាស៊ីនមេ។
iptables ផ្ទាល់ខ្លួន៖ ប្រសិនបើរ៉ោតទ័រ ឬម៉ាស៊ីនមេរបស់អ្នកអនុញ្ញាតឱ្យវា បន្ថែមច្បាប់ដែលទទួលយកតែ SSH ពីប្រភពជាក់លាក់ប៉ុណ្ណោះ។ ច្បាប់ធម្មតានឹងជា: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT អនុវត្តតាមគោលការណ៍ DROP លំនាំដើម ឬច្បាប់ដែលរារាំងអ្វីដែលនៅសល់។ នៅលើរ៉ោតទ័រដែលមានផ្ទាំង ច្បាប់ផ្ទាល់ខ្លួន អ្នកអាចចាក់បន្ទាត់ទាំងនេះ ហើយអនុវត្តពួកវាជាមួយ "រក្សាទុក & អនុវត្ត" ។
ការអនុវត្តល្អបំផុតនៅក្នុង MikroTik (អាចអនុវត្តបានតាមការណែនាំទូទៅ): ផ្លាស់ប្តូរច្រកលំនាំដើមប្រសិនបើអាចធ្វើទៅបាន បិទដំណើរការ Telnet (ប្រើតែ SSH) ប្រើពាក្យសម្ងាត់ខ្លាំង ឬប្រសើរជាងនេះ ការផ្ទៀងផ្ទាត់គន្លឹះកំណត់ការចូលប្រើដោយអាសយដ្ឋាន IP ដោយប្រើជញ្ជាំងភ្លើង បើក 2FA ប្រសិនបើឧបករណ៍គាំទ្រវា ហើយរក្សាកម្មវិធីបង្កប់/រ៉ោតទ័រឱ្យទាន់សម័យ។ បិទការចូលប្រើ WAN ប្រសិនបើអ្នកមិនត្រូវការវា។វាតាមដានការប៉ុនប៉ងដែលបរាជ័យ ហើយប្រសិនបើចាំបាច់ អនុវត្តដែនកំណត់អត្រាការតភ្ជាប់ដើម្បីទប់ស្កាត់ការវាយប្រហារដោយកម្លាំងសាហាវ។
TP-Link Classic Interface (កម្មវិធីបង្កប់ចាស់)៖ ចូលទៅបន្ទះដោយប្រើអាសយដ្ឋាន LAN IP (លំនាំដើម 192.168.1.1) និងព័ត៌មានសម្គាល់អ្នកគ្រប់គ្រង/អ្នកគ្រប់គ្រង បន្ទាប់មកចូលទៅកាន់ សុវត្ថិភាព → ជញ្ជាំងភ្លើងបើកដំណើរការតម្រង IP ហើយជ្រើសរើសកញ្ចប់ព័ត៌មានដែលមិនបានបញ្ជាក់តាមគោលការណ៍ដែលចង់បាន។ បន្ទាប់មកនៅក្នុង តម្រងអាសយដ្ឋាន IPចុច "បន្ថែមថ្មី" ហើយកំណត់ IPs ណាដែលអាច ឬមិនអាចប្រើច្រកសេវា នៅលើ WAN (សម្រាប់ SSH, 22/tcp) ។ រក្សាទុកជំហាននីមួយៗ។ នេះអនុញ្ញាតឱ្យអ្នកអនុវត្តការបដិសេធទូទៅ និងបង្កើតករណីលើកលែងដើម្បីអនុញ្ញាតតែ IPs ដែលអាចទុកចិត្តបាន។
រារាំង IPs ជាក់លាក់ជាមួយផ្លូវឋិតិវន្ត
ក្នុងករណីខ្លះ វាមានប្រយោជន៍ក្នុងការទប់ស្កាត់ការចេញទៅកាន់ IPs ជាក់លាក់ ដើម្បីបង្កើនស្ថេរភាពជាមួយនឹងសេវាកម្មមួយចំនួន (ដូចជាការផ្សាយ)។ មធ្យោបាយមួយដើម្បីធ្វើវានៅលើឧបករណ៍ TP-Link ជាច្រើនគឺតាមរយៈផ្លូវឋិតិវន្ត។បង្កើត /32 ផ្លូវដែលជៀសវាងការទៅដល់គោលដៅទាំងនោះ ឬដឹកនាំពួកគេតាមរបៀបដែលពួកវាមិនត្រូវបានប្រើប្រាស់ដោយផ្លូវលំនាំដើម (ការគាំទ្រប្រែប្រួលតាមកម្មវិធីបង្កប់)។
ម៉ូដែលថ្មីៗ៖ ចូលទៅកាន់ផ្ទាំង Advanced → Network → Advanced Routing → Static Routing ហើយចុច "+ បន្ថែម" ។ បញ្ចូល "Network Destination" ជាមួយអាសយដ្ឋាន IP ដើម្បីទប់ស្កាត់ "Subnet Mask" 255.255.255.255 "Default Gateway" ច្រក LAN (ជាទូទៅ 192.168.0.1) និង "Interface" LAN ។ ជ្រើសរើស "អនុញ្ញាតធាតុនេះ" ហើយរក្សាទុកធ្វើម្តងទៀតសម្រាប់អាសយដ្ឋាន IP គោលដៅនីមួយៗ អាស្រ័យលើសេវាកម្មដែលអ្នកចង់គ្រប់គ្រង។
កម្មវិធីបង្កប់ចាស់ៗ៖ ចូលទៅកាន់ ការកំណត់ផ្លូវកម្រិតខ្ពស់ → បញ្ជីផ្លូវឋិតិវន្តចុច "បន្ថែមថ្មី" ហើយបំពេញក្នុងវាលដូចគ្នា។ ធ្វើឱ្យស្ថានភាពផ្លូវសកម្ម និងរក្សាទុកពិគ្រោះជាមួយផ្នែកជំនួយរបស់សេវាកម្មរបស់អ្នក ដើម្បីរកមើលថាតើ IPs ណាដែលត្រូវព្យាបាល ព្រោះវាអាចមានការផ្លាស់ប្តូរ។
ការផ្ទៀងផ្ទាត់៖ បើកស្ថានីយ ឬប្រអប់បញ្ចូលពាក្យបញ្ជា ហើយសាកល្បងជាមួយ ping 8.8.8.8 (ឬអាសយដ្ឋាន IP គោលដៅដែលអ្នកបានរារាំង) ។ ប្រសិនបើអ្នកឃើញ "អស់ពេល" ឬ "ម៉ាស៊ីនគោលដៅមិនអាចទៅដល់បានទេ"ការទប់ស្កាត់កំពុងដំណើរការ។ បើមិនដូច្នោះទេ សូមពិនិត្យមើលជំហាន ហើយចាប់ផ្តើមរ៉ោតទ័រឡើងវិញដើម្បីឱ្យតារាងទាំងអស់មានប្រសិទ្ធភាព។
ការផ្ទៀងផ្ទាត់ ការសាកល្បង និងការដោះស្រាយឧប្បត្តិហេតុ
ដើម្បីផ្ទៀងផ្ទាត់ថាបញ្ជីស SSH របស់អ្នកកំពុងដំណើរការ សូមសាកល្បងប្រើអាសយដ្ឋាន IP ដែលមានការអនុញ្ញាត។ ssh usuario@IP_WAN -p 22 (ឬច្រកដែលអ្នកប្រើ) ហើយបញ្ជាក់ការចូលប្រើ។ ពីអាសយដ្ឋាន IP ដែលគ្មានការអនុញ្ញាត ច្រកមិនគួរផ្តល់សេវាកម្មទេ។។ សហរដ្ឋអាមេរិក nmap -p 22 IP_WAN ដើម្បីពិនិត្យមើលស្ថានភាពក្តៅ។
ប្រសិនបើមានអ្វីមួយមិនឆ្លើយតបដូចដែលវាគួរតែ សូមពិនិត្យមើលអាទិភាព ACL ។ ច្បាប់ត្រូវបានដំណើរការជាបន្តបន្ទាប់ ហើយអ្នកដែលមានលេខសម្គាល់ទាបបំផុតឈ្នះ។ការបដិសេធពីលើការអនុញ្ញាតរបស់អ្នកធ្វើឱ្យបញ្ជីសមានសុពលភាព។ សូមពិនិត្យមើលផងដែរថា "ប្រភេទសេវាកម្ម" ចង្អុលទៅច្រកត្រឹមត្រូវ ហើយថា "ក្រុម IP" របស់អ្នកមានជួរសមស្រប។
នៅក្នុងព្រឹត្តិការណ៍នៃអាកប្បកិរិយាគួរឱ្យសង្ស័យ (ការបាត់បង់ការតភ្ជាប់បន្ទាប់ពីមួយរយៈ, ច្បាប់ដែលផ្លាស់ប្តូរដោយខ្លួនឯង, ចរាចរណ៍ LAN ដែលធ្លាក់ចុះ) សូមពិចារណា ធ្វើបច្ចុប្បន្នភាពកម្មវិធីបង្កប់បិទសេវាកម្មដែលអ្នកមិនប្រើ (ការគ្រប់គ្រងបណ្តាញពីចម្ងាយ/Telnet/SSH) ផ្លាស់ប្តូរព័ត៌មានសម្ងាត់ ពិនិត្យមើលការក្លូន MAC ប្រសិនបើអាចអនុវត្តបាន ហើយចុងក្រោយ ត្រលប់ទៅការកំណត់របស់រោងចក្រ និងកំណត់រចនាសម្ព័ន្ធឡើងវិញដោយប្រើការកំណត់តិចតួច និងបញ្ជីសដ៏តឹងរឹង.
ភាពឆបគ្នា ម៉ូដែល និងកំណត់ចំណាំដែលមាន
ភាពអាចរកបាននៃលក្ខណៈពិសេស (ACLs ស្ថានភាព ទម្រង់ បញ្ជីស ការកែសម្រួល PVID នៅលើច្រក។ល។) វាអាចអាស្រ័យលើម៉ូដែល និងកំណែផ្នែករឹងនៅក្នុងឧបករណ៍មួយចំនួនដូចជា TL-R600VPN សមត្ថភាពជាក់លាក់អាចប្រើបានចាប់ពីកំណែ 4 តទៅ។ ចំណុចប្រទាក់អ្នកប្រើក៏ផ្លាស់ប្តូរដែរ ប៉ុន្តែដំណើរការជាមូលដ្ឋានគឺដូចគ្នា៖ ការទប់ស្កាត់តាមលំនាំដើម កំណត់សេវាកម្ម និងក្រុមអនុញ្ញាតពី IPs ជាក់លាក់ និងទប់ស្កាត់នៅសល់។
នៅក្នុងប្រព័ន្ធអេកូ TP-Link មានឧបករណ៍ជាច្រើនដែលពាក់ព័ន្ធនឹងបណ្តាញសហគ្រាស។ គំរូដែលបានលើកឡើងនៅក្នុងឯកសាររួមមាន T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-15TS, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T32T20G, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, T1-SL12028 T3700G-28TQ, T1500G-8T, T1700X-28TQក្នុងចំណោមអ្នកផ្សេងទៀត។ សូមចាំថា ការផ្តល់ជូននេះប្រែប្រួលតាមតំបន់។ ហើយមួយចំនួនប្រហែលជាមិនមាននៅក្នុងតំបន់របស់អ្នក។
ដើម្បីទទួលបានព័ត៌មានថ្មីៗ សូមចូលទៅកាន់ទំព័រជំនួយផលិតផលរបស់អ្នក ជ្រើសរើសកំណែផ្នែករឹងត្រឹមត្រូវ ហើយពិនិត្យ កំណត់ចំណាំកម្មវិធីបង្កប់ និងលក្ខណៈបច្ចេកទេស ជាមួយនឹងការកែលម្អចុងក្រោយបំផុត។ ពេលខ្លះការធ្វើបច្ចុប្បន្នភាពពង្រីក ឬកែលម្អជញ្ជាំងភ្លើង ACL ឬមុខងារគ្រប់គ្រងពីចម្ងាយ។
បិទ SSH សម្រាប់ IPs ជាក់លាក់ទាំងអស់ ការរៀបចំ ACLs ឱ្យបានត្រឹមត្រូវ និងការយល់ដឹងអំពីយន្តការគ្រប់គ្រងវត្ថុនីមួយៗ ជួយសង្រ្គោះអ្នកពីការភ្ញាក់ផ្អើលមិនល្អ។ ជាមួយនឹងគោលការណ៍បដិសេធលំនាំដើម បញ្ជីសច្បាស់លាស់ និងការផ្ទៀងផ្ទាត់ជាប្រចាំរ៉ោតទ័រ TP-Link របស់អ្នក និងសេវាកម្មនៅពីក្រោយវានឹងត្រូវបានការពារប្រសើរជាងមុនដោយមិនបោះបង់ការគ្រប់គ្រងនៅពេលដែលអ្នកត្រូវការវា។
ស្រលាញ់បច្ចេកវិទ្យាតាំងពីតូច។ ខ្ញុំចូលចិត្តធ្វើឱ្យទាន់សម័យនៅក្នុងវិស័យនេះ ហើយសំខាន់ជាងនេះទៅទៀតគឺការទំនាក់ទំនង។ នោះហើយជាមូលហេតុដែលខ្ញុំបានឧទ្ទិសដល់ការទំនាក់ទំនងនៅលើគេហទំព័របច្ចេកវិទ្យា និងវីដេអូហ្គេមអស់រយៈពេលជាច្រើនឆ្នាំ។ អ្នកអាចរកឃើញខ្ញុំសរសេរអំពី Android, Windows, MacOS, iOS, Nintendo ឬប្រធានបទពាក់ព័ន្ធផ្សេងទៀតដែលនឹកឃើញ។