- Демейки баш тартуу саясатына артыкчылык бериңиз жана SSH үчүн ак тизмелерди колдонуңуз.
- NAT + ACL бириктирет: портту ачат жана IP булагы менен чектейт.
- nmap/ping менен текшериңиз жана эреженин артыкчылыктуулугун сыйлаңыз (ID).
- Жаңыртуулар, SSH ачкычтары жана минималдуу кызматтар менен бекемдеңиз.
¿TP-Link роутерине SSH мүмкүнчүлүгүн ишенимдүү IPлерге кантип чектөөгө болот? SSH аркылуу тармагыңызга кире аларын көзөмөлдөө каприз эмес, бул коопсуздуктун маанилүү катмары. Ишенимдүү IP даректерден гана кирүүгө уруксат бериңиз Бул чабуулдун бетин азайтат, автоматтык сканерлөөлөрдү жайлатат жана Интернеттен тынымсыз кириш аракеттерин алдын алат.
Бул практикалык жана комплекстүү колдонмодо сиз муну TP-Link жабдыктары (SMB жана Omada) менен ар кандай сценарийлерде кантип жасоону, ACL эрежелери жана ак тизмелер менен эмнелерди эске алуу керектигин жана баары туура жабылганын кантип текшерүү керектигин көрөсүз. Биз TCP Wrappers, iptables жана мыкты тажрыйбалар сыяктуу кошумча ыкмаларды бириктиребиз Ошентип, сиз эч кандай боштуктарды калтырбай чөйрөңүздү коргой аласыз.
Эмне үчүн TP-Link роутерлеринде SSH мүмкүнчүлүгүн чектөө керек?
SSHти интернетке ачыкка чыгаруу зыяндуу ниет менен ансыз деле кызык боттордун массалык шыпыруусуна жол ачат. [SSH мисалдарында] байкалгандай, сканерден кийин WANда жеткиликтүү болгон 22-портту аныктоо сейрек эмес. TP-Link роутерлеринде олуттуу каталар. Жөнөкөй nmap буйругу жалпыга ачык IP дарегиңизде 22 порту ачык экенин текшерүү үчүн колдонулушу мүмкүн.: тышкы машинада ушул сыяктуу нерсени аткарат nmap -vvv -p 22 TU_IP_PUBLICA жана "ssh ачуу" пайда болгонун текшериңиз.
Ачык ачкычтарды колдонсоңуз да, 22-портту ачык калтыруу андан ары изилдөөгө, башка портторду сынап көрүүгө жана башкаруу кызматтарына чабуул жасоого чакырат. Чечим түшүнүктүү: демейки боюнча баш тартуу жана уруксат берилген IP же диапазондордон гана иштетүү.Оңдоо жана сиз тарабынан көзөмөлдөнгөн жакшы. Эгер сизге алыстан башкаруунун кереги жок болсо, аны WANда толугу менен өчүрүңүз.
Портторду ачуудан тышкары, эреженин өзгөрүшүнө же аномалдуу жүрүм-турумга шектениши мүмкүн болгон жагдайлар бар (мисалы, бир аз убакыттан кийин чыгуучу трафикти "түшүртө" баштаган кабелдик модем). Модемде пинг, тресерутер же серептөө тыгылып калганын байкасаңыз, орнотууларды, микропрограмманы текшериңиз жана заводдук жөндөөлөрдү калыбына келтирүүнү ойлонуп көрүңүз. жана колдонбогон нерселердин баарын жабыңыз.
Менталдык модель: демейки боюнча бөгөттөө жана ак тизме түзүү
Жеңүүчү философия жөнөкөй: демейки четке кагуу саясаты жана ачык өзгөчөлүктөрӨркүндөтүлгөн интерфейси бар көптөгөн TP-Link роутерлеринде сиз брандмауэрге Drop түрүндөгү алыстан кирүү саясатын орнотуп, андан кийин башкаруу кызматтары үчүн ак тизмедеги белгилүү даректерге уруксат бере аласыз.
"Алыстан киргизүү саясаты" жана "Ак тизме эрежелери" опцияларын камтыган системаларда (тармакта - Firewall беттеринде), Алыстан кирүү саясатында брендди түшүрүү Ал эми ак тизмеге CIDR форматындагы XXXX/XX конфигурацияга же SSH/Telnet/HTTP(S) сыяктуу кызматтарга жете алган коомдук IP'дерди кошуңуз. Бул жазуулар кийин баш аламандыкка жол бербөө үчүн кыскача сыпаттаманы камтышы мүмкүн.
Бул механизмдердин ортосундагы айырманы түшүнүү үчүн абдан маанилүү болуп саналат. Порт багыттоо (NAT/DNAT) портторду LAN машиналарына багыттайт"Чыпкалоо эрежелери" WANдан LANга же тармактар аралык трафикти көзөмөлдөсө, брандмауэрдин "Ак тизме эрежелери" роутердин башкаруу системасына кирүү мүмкүнчүлүгүн башкарат. Чыпкалоо эрежелери аппараттын өзүнө кирүүгө бөгөт койбойт; ал үчүн сиз ак тизмелерди же роутерге кирүүчү трафик боюнча белгилүү эрежелерди колдоносуз.
Ички кызматтарга кирүү үчүн, порт картасы NATта түзүлөт жана андан кийин бул картага сырттан кимдер жете ала тургандыгы чектелет. Рецепт: керектүү портту ачып, андан кийин кирүү башкаруусу менен чектеңиз. Бул ыйгарым укуктуу булактардын гана өтүшүнө мүмкүндүк берет жана калгандарын бөгөттөйт.
TP-Link SMB боюнча ишенимдүү IPлерден SSH (ER6120/ER8411 жана ушуга окшош)
TL-ER6120 же ER8411 сыяктуу SMB роутерлеринде LAN кызматын (мисалы, ички серверде SSH) жарнамалоонун жана аны IP булагы менен чектөөнүн кадимки үлгүсү эки фазалуу. Биринчиден, порт Virtual Server (NAT) менен ачылат, андан кийин ал Access Control менен чыпкаланат. IP топторуна жана кызмат түрлөрүнө негизделген.
1-фаза – Виртуалдык сервер: өтүңүз Өркүндөтүлгөн → NAT → Виртуалдык сервер жана тиешелүү WAN интерфейси үчүн жазуу жаратат. Тышкы порт 22 конфигурациялап, аны сервердин ички IP дарегине багыттаңыз (мисалы, 192.168.0.2:22)Эрежени тизмеге кошуу үчүн сактаңыз. Ишиңизде башка порт колдонулса (мисалы, сиз SSHди 2222ге өзгөрткөнсүз), маанини ошого жараша тууралаңыз.
2-этап – Кызмат түрү: киргизүү Артыкчылыктар → Кызмат түрү, деп аталган жаңы кызматты түзүү, мисалы, SSH, тандоо TCP же TCP/UDP жана 22 көздөгөн портун аныктаңыз (булак портунун диапазону 0–65535 болушу мүмкүн). Бул катмар сизге портко ACLде таза шилтеме жасоого мүмкүндүк берет.
3-фаза – IP тобу: өтүңүз Артыкчылыктар → IP тобу → IP дареги жана уруксат берилген булак үчүн (мисалы, сиздин коомдук IP же диапазон, "Access_Client" деп аталган) жана көздөгөн ресурс үчүн (мисалы, сервердин ички IP дареги менен "SSH_Server") жазууларды кошуңуз. Андан кийин ар бир даректи өзүнө тиешелүү IP тобу менен байланыштырыңыз ошол эле менюда.
4-фаза – Мүмкүнчүлүктү көзөмөлдөө: в Firewall → Кирүүнү башкаруу Эки эреже түзүңүз. 1) уруксат берүү эрежеси: саясатка уруксат берүү, жаңы аныкталган "SSH" кызматы, Булак = IP тобу "Access_Client" жана көздөгөн жер = "SSH_Server". Ага ID бериңиз 1. 2) Бөгөттөө эрежеси: Блок саясаты менен булак = IPGROUP_ANY жана көздөгөн жер = "SSH_Server" (же мүмкүн болушунча) ID 2 менен. Ошентип, ишенимдүү IP же диапазон гана NAT аркылуу SSHга өтөт; калганы бөгөттөлөт.
Баалоо тартиби абдан маанилүү. Төмөнкү идентификаторлор артыкчылыкка ээОшондуктан, уруксат берүү эрежеси Блоктоо эрежесинен мурун (төмөнкү ID) болушу керек. Өзгөртүүлөрдү колдонгондон кийин, сиз уруксат берилген IP даректен аныкталган портто роутердин WAN IP дарегине туташа аласыз, бирок башка булактардан келген байланыштар бөгөттөлөт.
Модель/микропрограмма эскертүүлөрү: Интерфейс аппараттык жана версиялардын ортосунда ар кандай болушу мүмкүн. TL-R600VPN айрым функцияларды жабуу үчүн v4 жабдыктарын талап кылатАл эми ар кандай системаларда менюлар башка жерге которулушу мүмкүн. Ошого карабастан, агым бирдей: кызматтын түрү → IP топтору → Уруксат берүү жана Блоктоо менен ACL. Унутпа сактоо жана колдонуу эрежелер күчүнө кириши үчүн.
Сунушталган текшерүү: ыйгарым укуктуу IP даректен аракет кылып көрүңүз ssh usuario@IP_WAN жана жеткиликтүүлүгүн текшерүү. Башка IP даректен порт жеткиликсиз болуп калышы керек. (келбеген же четке кагылган туташуу, идеалдуу түрдө маалымат бербөө үчүн баннерсиз).
Omada Controller менен ACL: тизмелер, штаттар жана мисал сценарийлери
Эгер сиз TP-Link шлюздарын Omada Controller менен башкарсаңыз, логика окшош, бирок визуалдык параметрлери көбүрөөк. Топторду түзүңүз (IP же порттор), шлюз ACLлерин аныктаңыз жана эрежелерди уюштуруңуз минимумга уруксат берүү жана калганын четке кагуу.
Тизмелер жана топтор: in Орнотуулар → Профильдер → Топтор Сиз IP топторун (192.168.0.32/27 же 192.168.30.100/32 сыяктуу ички тармактар же хосттор) жана ошондой эле порт топторун (мисалы, HTTP 80 жана DNS 53) түзө аласыз. Бул топтор татаал эрежелерди жөнөкөйлөтүү объекттерди кайра пайдалануу менен.
Gateway ACL: күйүк Конфигурация → Тармак коопсуздугу → ACL Коргуңуз келген нерсеге жараша LAN→WAN, LAN→LAN же WAN→LAN багыты менен эрежелерди кошуңуз. Ар бир эреженин саясаты Уруксат берүү же Баш тартуу болушу мүмкүн. ал эми тартип иш жүзүндөгү натыйжаны аныктайт. Аларды активдештирүү үчүн "Иштетүү" баскычын белгилеңиз. Кээ бир версиялар эрежелерди даярдап, өчүрүп коюуга мүмкүндүк берет.
Пайдалуу учурлар (SSHга ылайыкташкан): белгилүү бир кызматтарга гана уруксат берип, калгандарына бөгөт коюу (мисалы, DNS жана HTTP уруксат берүү, анан баарын четке кагуу). Башкаруу ак тизмелери үчүн, Ишенимдүү IPлерден "Шлюз Администрация барагына" уруксат бериңиз анан башка тармактардан жалпы баш тартуу. Эгерде сиздин микропрограммаңызда ушундай мүмкүнчүлүк бар болсо. Эки тараптууСиз автоматтык түрдө тескери эрежени түзө аласыз.
Туташуу статусу: ACLдер абалды көрсөтүшү мүмкүн. Жалпы түрлөрү: Жаңы, Түзүлгөн, Байланышкан жана Жараксыз"Жаңы" биринчи пакетти иштетет (мисалы, TCPде SYN), "Түзүлгөн" мурда кездешкен эки багыттуу трафикти, "Байланыштуу" көз каранды байланыштарды (мисалы, FTP маалымат каналдары) жана "Жараксыз" аномалдуу трафикти иштетет. Кошумча майда-бараттуулукту талап кылмайынча, демейки жөндөөлөрдү сактап калуу эң жакшы.
VLAN жана сегментация: Omada жана SMB роутерлерди колдойт VLAN ортосундагы бир багыттуу жана эки багыттуу сценарийлерСиз Маркетинг→Р&D бөгөттөсөңүз болот, бирок R&D→Маркетингге уруксат бере аласыз, же эки багытты тең блоктоп, дагы эле белгилүү бир администраторго уруксат бере аласыз. ACLдеги LAN→LAN багыты ички субсеттердин ортосундагы трафикти көзөмөлдөө үчүн колдонулат.
Кошумча ыкмалар жана бекемдөөлөр: TCP Wrappers, iptables, MikroTik жана классикалык брандмауэр
Маршрутизатордун ACLлеринен тышкары, башка катмарлар да колдонулушу керек, айрыкча SSH көздөгөн жери роутердин артындагы Linux сервери болсо. TCP Wrappers hosts.allow жана hosts.deny менен IP боюнча чыпкалоого мүмкүндүк берет шайкеш кызматтар боюнча (анын ичинде көптөгөн салттуу конфигурацияларда OpenSSH).
Башкаруу файлдары: эгерде алар жок болсо, аларды түзүңүз sudo touch /etc/hosts.{allow,deny}. Мыкты тажрыйба: hosts.deny ичиндеги баарын четке кагуу жана ачык түрдө hosts.allow ичинде уруксат берет. Мисалы: in /etc/hosts.deny басчы sshd: ALL жана /etc/hosts.allow деп кошумчалайт sshd: 203.0.113.10, 198.51.100.0/24Ошентип, ошол IPлер гана сервердин SSH демонуна жете алат.
Ыңгайлаштырылган iptables: Эгер роутериңиз же сервериңиз уруксат берсе, SSHти белгилүү булактардан гана кабыл алган эрежелерди кошуңуз. Кадимки эреже болмок: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT андан кийин демейки DROP саясаты же калганын блоктоочу эреже. өтмөгү бар роутерлерде Ыңгайлаштырылган эрежелер Сиз бул сызыктарды сайып, "Сактоо жана Колдонуу" менен колдоно аласыз.
MikroTikтеги эң жакшы тажрыйбалар (жалпы колдонмо катары колдонулат): мүмкүн болсо демейки портторду өзгөртүү, Telnetти өчүрүү (SSH гана колдонуңуз), күчтүү сырсөздөрдү колдонуңуз же андан да жакшысы, ачкычтын аутентификациясыБрандмауэрди колдонуу менен IP дареги боюнча кирүүнү чектеңиз, эгер аппарат аны колдосо, 2FA иштетиңиз жана микропрограмманы/RouterOSту жаңыртыңыз. Эгер сизге кереги жок болсо, WAN мүмкүнчүлүгүн өчүрүңүзАл ишке ашпай калган аракеттерди көзөмөлдөйт жана зарыл болсо, катаал күч чабуулдарын ооздуктоо үчүн туташуунун ылдамдыгын чектейт.
TP-Link Classic Interface (Эски микропрограмма): LAN IP дарегин (демейки 192.168.1.1) жана администратор/администратордун эсептик дайындарын колдонуп, панелге кирип, андан кийин дарекке өтүңүз. Коопсуздук → FirewallIP чыпкасын иштетиңиз жана такталбаган пакеттердин каалаган саясатка ылайык келишин тандаңыз. Андан кийин, в IP дарегин чыпкалоо, "Жаңы кошуу" баскычын басып, аныктаңыз кайсы IP кызмат портун колдоно алат же колдоно албайт WAN боюнча (SSH, 22/tcp үчүн). Ар бир кадамды сактаңыз. Бул жалпы баш тартууну колдонууга жана ишенимдүү IP даректерине гана уруксат берүү үчүн өзгөчө жагдайларды түзүүгө мүмкүндүк берет.
Статикалык маршруттар менен белгилүү IP'дерди бөгөттөө
Кээ бир учурларда, белгилүү бир кызматтардын (мисалы, агымдын) туруктуулугун жакшыртуу үчүн белгилүү бир IPге чыгууну бөгөттөө пайдалуу. Муну бир нече TP-Link түзмөктөрүндө жасоонун бир жолу - статикалык багыттоо., ошол көздөгөн жерлерге жетүүдөн качкан /32 маршруттарды түзүү же аларды демейки каттам керектебегендей кылып багыттоо (колдоо микропрограммага жараша өзгөрөт).
Акыркы моделдер: өтмөккө өтүңүз Өркүндөтүлгөн → Тармак → Өркүндөтүлгөн Багыттоо → Статикалык Багыттоо жана "+ Кошуу" баскычын басыңыз. Бөгөттөө үчүн IP дареги менен "Тармактын көздөгөн жерин" киргизиңиз, "Субнет маскасы" 255.255.255.255, "Демейки шлюз" LAN шлюзи (адатта 192.168.0.1) жана "Интерфейс" LAN. "Бул жазууга уруксат берүү" тандаңыз жана сактаңызСиз көзөмөлдөгүңүз келген кызматка жараша ар бир максаттуу IP дареги үчүн кайталаңыз.
Эски микропрограммалар: өтүңүз Өркүндөтүлгөн багыттоо → Статикалык багыттоо тизмеси, "Жаңы кошуу" баскычын басып, ошол эле талааларды толтуруңуз. Маршруттун абалын жандырыңыз жана сактаңызКайсы IP даректери өзгөрүшү мүмкүн экенин билүү үчүн кызматыңыздын колдоо бөлүмүнө кайрылыңыз.
Текшерүү: Терминалды же буйрук тилкесин ачып, сынап көрүңүз ping 8.8.8.8 (же сиз бөгөттөгөн көздөгөн IP). Эгер "Убакыт аяктады" же "Бара турган хостко жеткиликсиз" көрүнсөБлоктоо иштеп жатат. Болбосо, кадамдарды карап чыгып, бардык таблицалар күчүнө кириши үчүн роутерди өчүрүп күйгүзүңүз.
Текшерүү, сыноо жана окуяны чечүү
SSH ак тизмеңиз иштеп жатканын текшерүү үчүн ыйгарым укуктуу IP дарегин колдонуп көрүңүз. ssh usuario@IP_WAN -p 22 (же сиз колдонгон портту) жана кирүүнү ырастаңыз. Уруксатсыз IP даректен порт кызматты сунуштабашы керек.. АКШ nmap -p 22 IP_WAN ысык абалын текшерүү үчүн.
Эгер бир нерсе талаптагыдай жооп бербесе, ACL артыкчылыктуулугун текшериңиз. Эрежелер ырааттуу түрдө иштетилет жана эң төмөнкү ID барлар жеңет.Уруксат берүүүңүздүн үстүндөгү "Бокко" ак тизмени жараксыз кылат. Ошондой эле, "Кызмат түрү" туура портту көрсөтүп жатканын жана "IP топторуңузда" тиешелүү диапазондор бар экенин текшериңиз.
Шектүү жүрүм-турум болгон учурда (бир аз убакыттан кийин байланыш жоголуп, эрежелер өз алдынча өзгөрөт, LAN трафиги төмөндөйт) программалык камсыздоону жаңыртыңызСиз колдонбогон кызматтарды өчүрүңүз (алыстагы веб/Telnet/SSH администрациясы), эсептик дайындарды өзгөртүңүз, мүмкүн болсо MAC клондоштурууну текшериңиз жана акырында, Заводдук жөндөөлөргө калыбына келтириңиз жана минималдуу орнотуулар жана катуу ак тизме менен кайра конфигурациялаңыз.
Шайкештик, моделдер жана жеткиликтүүлүк эскертүүлөрү
Функциялардын болушу (штаттуу ACL, профилдер, ак тизмелер, порттордогу PVID түзөтүү ж.б.) Бул аппараттык моделге жана версияга жараша болушу мүмкүнКээ бир түзмөктөрдө, мисалы, TL-R600VPN, айрым мүмкүнчүлүктөр 4-версиясынан баштап гана жеткиликтүү. Колдонуучу интерфейстери да өзгөрөт, бирок негизги процесс бирдей: демейки боюнча бөгөттөө, кызматтарды жана топторду аныктоо, белгилүү бир IPлерден уруксат берип, калгандарына бөгөт коюу.
TP-Link экосистемасынын ичинде ишкана тармактарына тартылган көптөгөн түзмөктөр бар. Документте келтирилген моделдер кирет T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS4F, TL2- T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G05- T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL24208-, T3700G-28TQ, T1500G-8T, T1700X-28TQбашкалардын арасында. Ошону эстен чыгарба Сунуш аймакка жараша өзгөрөт. жана кээ бирлери сиздин аймакта жеткиликсиз болушу мүмкүн.
Жаңыртуу үчүн продуктуңуздун колдоо барагына баш багыңыз, туура аппараттык версиясын тандап, текшериңиз микропрограммалык эскертүүлөр жана техникалык мүнөздөмөлөр акыркы жакшыртуулар менен. Кээде жаңыртуулар брандмауэрди, ACL же алыстан башкаруу функцияларын кеңейтет же жакшыртат.
Жабуу SSH Конкреттүү IPлерден башкасынын бардыгы үчүн, ACLлерди туура уюштуруу жана ар бир нерсени кандай механизм башкарарын түшүнүү сизди жагымсыз күтүлбөгөн окуялардан сактайт. Демейки баш тартуу саясаты, так ак тизмелер жана үзгүлтүксүз текшерүү мененСиздин TP-Link роутериңиз жана анын артында турган кызматтар сизге керек болгон учурда башкаруудан баш тартпастан жакшыраак корголот.
Кичинекей кезинен бери технологияга жакын. Мен сектордо жаңыртылганды жана эң башкысы аны менен баарлашканды жакшы көрөм. Ошондуктан мен көп жылдардан бери технология жана видео оюн веб-сайттарындагы баарлашууга арнадым. Сиз мени Android, Windows, MacOS, iOS, Nintendo же акылга келген башка тиешелүү темалар жөнүндө жазып таба аласыз.