- ຈັດລໍາດັບຄວາມສໍາຄັນຂອງນະໂຍບາຍການປະຕິເສດເລີ່ມຕົ້ນແລະນໍາໃຊ້ບັນຊີຂາວສໍາລັບ SSH.
- ປະສົມປະສານ NAT + ACL: ເປີດພອດແລະຈໍາກັດໂດຍ IP ແຫຼ່ງ.
- ຢັ້ງຢືນດ້ວຍ nmap/ping ແລະເຄົາລົບບູລິມະສິດກົດລະບຽບ (ID).
- ສ້າງຄວາມເຂັ້ມແຂງດ້ວຍການອັບເດດ, ກະແຈ SSH ແລະການບໍລິການຂັ້ນຕໍ່າ.
¿ວິທີການຈໍາກັດການເຂົ້າເຖິງ SSH ກັບ router TP-Link ກັບ IPs ທີ່ເຊື່ອຖືໄດ້? ການຄວບຄຸມຜູ້ທີ່ສາມາດເຂົ້າເຖິງເຄືອຂ່າຍຂອງທ່ານຜ່ານ SSH ບໍ່ແມ່ນຄວາມແປກໃຈ, ມັນເປັນຊັ້ນຄວາມປອດໄພທີ່ສໍາຄັນ. ອະນຸຍາດໃຫ້ເຂົ້າເຖິງພຽງແຕ່ຈາກທີ່ຢູ່ IP ທີ່ເຊື່ອຖືໄດ້ ມັນຊ່ວຍຫຼຸດຜ່ອນພື້ນຜິວການໂຈມຕີ, ຊ້າລົງການສະແກນອັດຕະໂນມັດ, ແລະປ້ອງກັນຄວາມພະຍາຍາມບຸກລຸກຢ່າງຕໍ່ເນື່ອງຈາກອິນເຕີເນັດ.
ໃນຄູ່ມືພາກປະຕິບັດແລະທີ່ສົມບູນແບບນີ້ທ່ານຈະເຫັນວິທີການເຮັດມັນຢູ່ໃນສະຖານະການທີ່ແຕກຕ່າງກັນກັບອຸປະກອນ TP-Link (SMB ແລະ Omada), ສິ່ງທີ່ຄວນພິຈາລະນາກັບກົດລະບຽບ ACL ແລະບັນຊີຂາວ, ແລະວິທີການກວດສອບວ່າທຸກສິ່ງທຸກຢ່າງຖືກປິດຢ່າງຖືກຕ້ອງ. ພວກເຮົາປະສົມປະສານວິທີການເພີ່ມເຕີມເຊັ່ນ: TCP Wrappers, iptables, ແລະການປະຕິບັດທີ່ດີທີ່ສຸດ ດັ່ງນັ້ນທ່ານສາມາດຮັບປະກັນສະພາບແວດລ້ອມຂອງທ່ານໂດຍບໍ່ມີການເຮັດໃຫ້ສິ້ນວ່າງ.
ເປັນຫຍັງຈໍາກັດການເຂົ້າເຖິງ SSH ໃນເຣົາເຕີ TP-Link
ການເປີດເຜີຍ SSH ກັບອິນເຕີເນັດເປີດປະຕູສູ່ການກວາດລ້າຄັ້ງໃຫຍ່ໂດຍ bots ທີ່ຢາກຮູ້ຢາກເຫັນທີ່ມີຈຸດປະສົງທີ່ເປັນອັນຕະລາຍ. ມັນບໍ່ແມ່ນເລື່ອງແປກທີ່ຈະກວດພົບພອດ 22 ທີ່ສາມາດເຂົ້າເຖິງໄດ້ໃນ WAN ຫຼັງຈາກສະແກນ, ດັ່ງທີ່ໄດ້ສັງເກດເຫັນໃນ [ຕົວຢ່າງຂອງ SSH]. ຄວາມລົ້ມເຫຼວທີ່ສໍາຄັນໃນ router TP-Link. ສາມາດໃຊ້ຄໍາສັ່ງ nmap ງ່າຍໆເພື່ອກວດເບິ່ງວ່າທີ່ຢູ່ IP ສາທາລະນະຂອງເຈົ້າມີພອດ 22 ເປີດຫຼືບໍ່.: ປະຕິບັດບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້ຢູ່ໃນເຄື່ອງພາຍນອກ nmap -vvv -p 22 TU_IP_PUBLICA ແລະກວດເບິ່ງວ່າ "open ssh" ປາກົດ.
ເຖິງແມ່ນວ່າທ່ານໃຊ້ກະແຈສາທາລະນະ, ການປ່ອຍໃຫ້ພອດ 22 ເປີດການເຊື້ອເຊີນໃຫ້ຂຸດຄົ້ນຕື່ມອີກ, ການທົດສອບພອດອື່ນ, ແລະການບໍລິການຈັດການການໂຈມຕີ. ການແກ້ໄຂແມ່ນຈະແຈ້ງ: ປະຕິເສດໂດຍຄ່າເລີ່ມຕົ້ນແລະເປີດໃຊ້ພຽງແຕ່ຈາກ IPs ຫຼືໄລຍະທີ່ໄດ້ຮັບອະນຸຍາດ.ດີກວ່າການແກ້ໄຂແລະຄວບຄຸມໂດຍທ່ານ. ຖ້າທ່ານບໍ່ຕ້ອງການການຈັດການທາງໄກ, ໃຫ້ປິດມັນຢ່າງສົມບູນໃນ WAN.
ນອກເຫນືອຈາກການເປີດເຜີຍພອດ, ມີສະຖານະການທີ່ທ່ານອາດຈະສົງໃສວ່າການປ່ຽນແປງກົດລະບຽບຫຼືພຶດຕິກໍາທີ່ຜິດປົກກະຕິ (ຕົວຢ່າງເຊັ່ນໂມເດັມສາຍເຄເບີ້ນທີ່ເລີ່ມ "ລຸດລົງ" ການຈະລາຈອນຂາອອກຫຼັງຈາກເວລາໃດຫນຶ່ງ). ຖ້າທ່ານສັງເກດເຫັນວ່າ ping, traceroute, ຫຼືການຊອກຫາບໍ່ໄດ້ຜ່ານໂມເດັມ, ໃຫ້ກວດເບິ່ງການຕັ້ງຄ່າ, ເຟີມແວ, ແລະພິຈາລະນາຟື້ນຟູການຕັ້ງຄ່າໂຮງງານ. ແລະປິດທຸກຢ່າງທີ່ທ່ານບໍ່ໃຊ້.
ຮູບແບບທາງຈິດ: ບລັອກໂດຍຄ່າເລີ່ມຕົ້ນ ແລະສ້າງບັນຊີຂາວ
ປັດຊະຍາຊະນະແມ່ນງ່າຍດາຍ: ຄ່າເລີ່ມຕົ້ນປະຕິເສດນະໂຍບາຍ ແລະຂໍ້ຍົກເວັ້ນທີ່ຈະແຈ້ງໃນຫຼາຍເຣົາເຕີ TP-Link ທີ່ມີອິນເຕີເຟດຂັ້ນສູງ, ທ່ານສາມາດຕັ້ງຄ່ານະໂຍບາຍການເຂົ້າຈາກໄລຍະໄກແບບ Drop-type ໃນໄຟວໍ, ແລະຫຼັງຈາກນັ້ນອະນຸຍາດໃຫ້ມີທີ່ຢູ່ສະເພາະຢູ່ໃນບັນຊີຂາວສໍາລັບການບໍລິການການຈັດການ.
ໃນລະບົບທີ່ປະກອບມີຕົວເລືອກ "ນະໂຍບາຍການປ້ອນຂໍ້ມູນທາງໄກ" ແລະ "ກົດບັນຊີຂາວ" (ໃນໜ້າ Network - Firewall), ວາງຍີ່ຫໍ້ໃນນະໂຍບາຍການເຂົ້າທາງໄກ ແລະເພີ່ມໃສ່ບັນຊີຂາວ IPs ສາທາລະນະໃນຮູບແບບ CIDR XXXX/XX ທີ່ຄວນຈະສາມາດບັນລຸການຕັ້ງຄ່າ ຫຼືການບໍລິການເຊັ່ນ SSH/Telnet/HTTP(S). ລາຍການເຫຼົ່ານີ້ສາມາດປະກອບມີຄໍາອະທິບາຍສັ້ນໆເພື່ອຫຼີກເວັ້ນການສັບສົນໃນພາຍຫລັງ.
ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະເຂົ້າໃຈຄວາມແຕກຕ່າງລະຫວ່າງກົນໄກ. ການສົ່ງຕໍ່ພອດ (NAT/DNAT) ປ່ຽນເສັ້ນທາງພອດໄປຫາເຄື່ອງ LANໃນຂະນະທີ່ "ກົດລະບຽບການກັ່ນຕອງ" ຄວບຄຸມ WAN-to-LAN ຫຼືການຈະລາຈອນລະຫວ່າງເຄືອຂ່າຍ, "ກົດລະບຽບ Whitelist" ຂອງ Firewall ຄວບຄຸມການເຂົ້າເຖິງລະບົບການຈັດການ router. ກົດລະບຽບການກັ່ນຕອງບໍ່ໄດ້ຂັດຂວາງການເຂົ້າເຖິງອຸປະກອນຂອງມັນເອງ; ສໍາລັບການນັ້ນ, ທ່ານໃຊ້ບັນຊີຂາວຫຼືກົດລະບຽບສະເພາະກ່ຽວກັບການຈະລາຈອນຂາເຂົ້າໄປຫາ router.
ເພື່ອເຂົ້າເຖິງການບໍລິການພາຍໃນ, ການສ້າງແຜນທີ່ພອດແມ່ນຖືກສ້າງຂຶ້ນໃນ NAT ແລະຫຼັງຈາກນັ້ນມັນຈໍາກັດວ່າໃຜສາມາດເຂົ້າຫາແຜນທີ່ຈາກພາຍນອກໄດ້. ສູດແມ່ນ: ເປີດພອດທີ່ຈໍາເປັນແລະຫຼັງຈາກນັ້ນຈໍາກັດມັນດ້ວຍການຄວບຄຸມການເຂົ້າເຖິງ. ທີ່ອະນຸຍາດໃຫ້ພຽງແຕ່ແຫຼ່ງອະນຸຍາດຜ່ານແລະຕັນສ່ວນທີ່ເຫຼືອ.
SSH ຈາກ IPs ທີ່ເຊື່ອຖືໄດ້ໃນ TP-Link SMB (ER6120/ER8411 ແລະຄ້າຍຄືກັນ)
ໃນ routers SMB ເຊັ່ນ TL-ER6120 ຫຼື ER8411, ຮູບແບບປົກກະຕິສໍາລັບການໂຄສະນາການບໍລິການ LAN (ເຊັ່ນ: SSH ໃນເຄື່ອງແມ່ຂ່າຍພາຍໃນ) ແລະການຈໍາກັດມັນໂດຍ IP ແຫຼ່ງແມ່ນສອງໄລຍະ. ຫນ້າທໍາອິດ, ພອດຖືກເປີດດ້ວຍ Virtual Server (NAT), ແລະຫຼັງຈາກນັ້ນມັນຖືກກັ່ນຕອງດ້ວຍການຄວບຄຸມການເຂົ້າເຖິງ. ອີງໃສ່ກຸ່ມ IP ແລະປະເພດການບໍລິການ.
ໄລຍະທີ 1 – ເຊີບເວີ Virtual: ໄປທີ່ Advanced → NAT → Virtual Server ແລະສ້າງລາຍການສໍາລັບການໂຕ້ຕອບ WAN ທີ່ສອດຄ້ອງກັນ. ຕັ້ງຄ່າພອດພາຍນອກ 22 ແລະຊີ້ມັນໄປທີ່ທີ່ຢູ່ IP ພາຍໃນຂອງເຊີບເວີ (ຕົວຢ່າງ: 192.168.0.2:22)ບັນທຶກກົດລະບຽບເພື່ອເພີ່ມມັນໃສ່ບັນຊີລາຍຊື່. ຖ້າກໍລະນີຂອງທ່ານໃຊ້ພອດທີ່ແຕກຕ່າງກັນ (ເຊັ່ນ: ທ່ານໄດ້ປ່ຽນ SSH ເປັນ 2222), ປັບຄ່າຕາມຄວາມເຫມາະສົມ.
ໄລຍະທີ 2 – ປະເພດການບໍລິການ: ເຂົ້າ ການຕັ້ງຄ່າ → ປະເພດການບໍລິການ, ສ້າງການບໍລິການໃຫມ່ທີ່ເອີ້ນວ່າ, ສໍາລັບການຍົກຕົວຢ່າງ, SSH, ເລືອກ TCP ຫຼື TCP/UDP ແລະກໍານົດພອດປາຍທາງ 22 (ໄລຍະພອດແຫຼ່ງສາມາດເປັນ 0–65535). ຊັ້ນນີ້ຈະຊ່ວຍໃຫ້ທ່ານອ້າງອີງພອດໄດ້ສະອາດຢູ່ໃນ ACL.
ໄລຍະທີ 3 – ກຸ່ມ IP: ໄປທີ່ ການຕັ້ງຄ່າ → ກຸ່ມ IP → ທີ່ຢູ່ IP ແລະເພີ່ມລາຍການສໍາລັບທັງສອງແຫຼ່ງທີ່ອະນຸຍາດ (ເຊັ່ນ: IP ສາທາລະນະຂອງທ່ານຫຼືໄລຍະໃດຫນຶ່ງ, ທີ່ມີຊື່ວ່າ "Access_Client") ແລະຊັບພະຍາກອນປາຍທາງ (ເຊັ່ນ: "SSH_Server" ກັບ IP ພາຍໃນຂອງເຊີບເວີ). ຫຼັງຈາກນັ້ນ, ເຊື່ອມໂຍງແຕ່ລະທີ່ຢູ່ກັບກຸ່ມ IP ທີ່ສອດຄ້ອງກັນຂອງມັນ ພາຍໃນເມນູດຽວກັນ.
ໄລຍະທີ 4 – ການຄວບຄຸມການເຂົ້າເຖິງ: ໃນ Firewall → ການຄວບຄຸມການເຂົ້າເຖິງ ສ້າງສອງກົດລະບຽບ. 1) ອະນຸຍາດໃຫ້ກົດລະບຽບ: ອະນຸຍາດໃຫ້ນະໂຍບາຍ, ການບໍລິການ "SSH" ກໍານົດໃຫມ່, ແຫຼ່ງຂໍ້ມູນ = ກຸ່ມ IP "Access_Client" ແລະປາຍທາງ = "SSH_Server". ໃຫ້ມັນ ID 1. 2) Blocking Rule: Block policy with ແຫຼ່ງ = IPGROUP_ANY ແລະປາຍທາງ = “SSH_Server” (ຫຼືຕາມທີ່ສາມາດໃຊ້ໄດ້) ດ້ວຍ ID 2. ດ້ວຍວິທີນີ້, ພຽງແຕ່ IP ຫຼືໄລຍະທີ່ເຊື່ອຖືໄດ້ຈະຜ່ານ NAT ໄປຫາ SSH ຂອງທ່ານ; ສ່ວນທີ່ເຫຼືອຈະຖືກສະກັດ.
ຄໍາສັ່ງຂອງການປະເມີນຜົນແມ່ນສໍາຄັນ. ID ຕ່ໍາແມ່ນມີຄວາມສໍາຄັນດັ່ງນັ້ນ, ກົດລະບຽບການອະນຸຍາດຕ້ອງກ່ອນ (ID ຕ່ໍາ) ກົດລະບຽບການບລັອກ. ຫຼັງຈາກນໍາໃຊ້ການປ່ຽນແປງ, ທ່ານຈະສາມາດເຊື່ອມຕໍ່ກັບ WAN IP address ຂອງ router ໃນພອດທີ່ກໍານົດໄວ້ຈາກທີ່ຢູ່ IP ທີ່ອະນຸຍາດ, ແຕ່ການເຊື່ອມຕໍ່ຈາກແຫຼ່ງອື່ນໆຈະຖືກບລັອກ.
ບັນທຶກໂມເດວ/ເຟີມແວ: ການໂຕ້ຕອບອາດຈະແຕກຕ່າງກັນລະຫວ່າງຮາດແວ ແລະລຸ້ນຕ່າງໆ. TL-R600VPN ຕ້ອງການຮາດແວ v4 ເພື່ອປົກຄຸມບາງຟັງຊັນແລະໃນລະບົບທີ່ແຕກຕ່າງກັນ, ເມນູອາດຈະຖືກຍົກຍ້າຍ. ເຖິງແມ່ນວ່າ, ການໄຫຼເຂົ້າແມ່ນຄືກັນ: ປະເພດການບໍລິການ → ກຸ່ມ IP → ACL ກັບ Allow ແລະ Block. ຢ່າລືມ ຊ່ວຍປະຢັດແລະນໍາໃຊ້ ສໍາລັບກົດລະບຽບທີ່ຈະມີຜົນບັງຄັບໃຊ້.
ການຢັ້ງຢືນທີ່ແນະນໍາ: ຈາກທີ່ຢູ່ IP ທີ່ໄດ້ຮັບອະນຸຍາດ, ພະຍາຍາມ ssh usuario@IP_WAN ແລະກວດສອບການເຂົ້າເຖິງ. ຈາກທີ່ຢູ່ IP ອື່ນ, ພອດຄວນຈະບໍ່ສາມາດເຂົ້າເຖິງໄດ້. (ການເຊື່ອມຕໍ່ທີ່ບໍ່ໄດ້ມາຮອດຫຼືຖືກປະຕິເສດ, ໂດຍສະເພາະໂດຍບໍ່ມີປ້າຍໂຄສະນາເພື່ອຫຼີກເວັ້ນການໃຫ້ຂໍ້ຄຶດ).
ACL ກັບ Omada Controller: ລາຍຊື່, ລັດ, ແລະສະຖານະການຕົວຢ່າງ
ຖ້າທ່ານຈັດການ TP-Link gateways ດ້ວຍ Omada Controller, ເຫດຜົນແມ່ນຄ້າຍຄືກັນແຕ່ມີທາງເລືອກທີ່ມີສາຍຕາຫຼາຍ. ສ້າງກຸ່ມ (IP ຫຼືພອດ), ກໍານົດ gateway ACLs, ແລະຈັດລະບຽບ ເພື່ອອະນຸຍາດໃຫ້ຕໍາ່ສຸດທີ່ເປົ່າແລະປະຕິເສດທຸກສິ່ງທຸກຢ່າງອື່ນ.
ລາຍຊື່ແລະກຸ່ມ: ໃນ ການຕັ້ງຄ່າ → ໂປຣໄຟລ໌ → ກຸ່ມ ທ່ານສາມາດສ້າງກຸ່ມ IP (subnets ຫຼື hosts, ເຊັ່ນ: 192.168.0.32/27 ຫຼື 192.168.30.100/32) ແລະຍັງ port ກຸ່ມ (ຕົວຢ່າງ: HTTP 80 ແລະ DNS 53). ກຸ່ມເຫຼົ່ານີ້ເຮັດໃຫ້ກົດລະບຽບທີ່ສັບສົນງ່າຍ ໂດຍການນຳໃຊ້ວັດຖຸຄືນໃໝ່.
Gateway ACL: ເປີດ ການຕັ້ງຄ່າ → ຄວາມປອດໄພເຄືອຂ່າຍ → ACL ເພີ່ມກົດລະບຽບດ້ວຍ LAN → WAN, LAN → LAN ຫຼື WAN → LAN ທິດທາງໂດຍອີງຕາມສິ່ງທີ່ທ່ານຕ້ອງການປົກປ້ອງ. ນະໂຍບາຍສໍາລັບແຕ່ລະກົດລະບຽບສາມາດອະນຸຍາດໃຫ້ຫຼືປະຕິເສດ. ແລະຄໍາສັ່ງກໍານົດຜົນໄດ້ຮັບຕົວຈິງ. ກວດເບິ່ງ "ເປີດໃຊ້ງານ" ເພື່ອເປີດໃຊ້ພວກມັນ. ບາງສະບັບອະນຸຍາດໃຫ້ທ່ານອອກຈາກກົດລະບຽບທີ່ຖືກກະກຽມແລະປິດການໃຊ້ງານ.
ກໍລະນີທີ່ເປັນປະໂຫຍດ (ສາມາດປັບຕົວເຂົ້າກັບ SSH): ອະນຸຍາດໃຫ້ສະເພາະການບໍລິການສະເພາະແລະປິດກັ້ນສ່ວນທີ່ເຫຼືອ (ເຊັ່ນ: ອະນຸຍາດໃຫ້ DNS ແລະ HTTP ແລະຫຼັງຈາກນັ້ນປະຕິເສດທັງຫມົດ). ສໍາລັບບັນຊີຂາວການຄຸ້ມຄອງ, ສ້າງອະນຸຍາດຈາກ IPs ທີ່ເຊື່ອຖືໄດ້ໄປຫາ "ຫນ້າການຄຸ້ມຄອງປະຕູ". ແລະຫຼັງຈາກນັ້ນເປັນການປະຕິເສດທົ່ວໄປຈາກເຄືອຂ່າຍອື່ນໆ. ຖ້າເຟີມແວຂອງທ່ານມີທາງເລືອກນັ້ນ. Bidirectionalທ່ານສາມາດສ້າງກົດລະບຽບປີ້ນກັບກັນໂດຍອັດຕະໂນມັດ.
ສະຖານະການເຊື່ອມຕໍ່: ACLs ສາມາດເປັນສະຖານະ. ປະເພດທົ່ວໄປແມ່ນໃຫມ່, ສ້າງຕັ້ງຂຶ້ນ, ທີ່ກ່ຽວຂ້ອງ, ແລະບໍ່ຖືກຕ້ອງ"ໃຫມ່" ຈັດການແພັກເກັດທໍາອິດ (ເຊັ່ນ: SYN ໃນ TCP), "ສ້າງຕັ້ງຂຶ້ນ" ຈັດການການຈາລະຈອນແບບສອງທິດທາງກ່ອນຫນ້ານີ້, "ທີ່ກ່ຽວຂ້ອງ" ຈັດການການເຊື່ອມຕໍ່ທີ່ຂຶ້ນກັບ (ເຊັ່ນ: ຊ່ອງທາງຂໍ້ມູນ FTP), ແລະ "ບໍ່ຖືກຕ້ອງ" ຈັດການກັບການຈະລາຈອນຜິດປົກກະຕິ. ໂດຍທົ່ວໄປແລ້ວມັນເປັນການດີທີ່ສຸດທີ່ຈະຮັກສາການຕັ້ງຄ່າໄວ້ໃນຕອນຕົ້ນເວັ້ນເສຍແຕ່ວ່າທ່ານຕ້ອງການລາຍລະອຽດເພີ່ມເຕີມ.
VLAN ແລະ segmentation: Omada ແລະ SMB routers ຮອງຮັບ ສະຖານະການ unidirectional ແລະ bidirectional ລະຫວ່າງ VLANsທ່ານສາມາດບລັອກການຕະຫຼາດ → R&D ແຕ່ອະນຸຍາດໃຫ້ R&D →ການຕະຫຼາດ, ຫຼືປິດກັ້ນທັງສອງທິດທາງແລະຍັງອະນຸຍາດໃຫ້ຜູ້ບໍລິຫານສະເພາະ. ທິດທາງ LAN → LAN ໃນ ACL ແມ່ນໃຊ້ເພື່ອຄວບຄຸມການຈະລາຈອນລະຫວ່າງເຄືອຂ່າຍຍ່ອຍພາຍໃນ.
ວິທີການເພີ່ມເຕີມແລະການເສີມ: TCP Wrappers, iptables, MikroTik ແລະ firewall ຄລາສສິກ
ນອກເຫນືອຈາກ ACLs ຂອງ router, ມີຊັ້ນອື່ນໆທີ່ຄວນຈະຖືກນໍາໃຊ້, ໂດຍສະເພາະຖ້າຈຸດຫມາຍປາຍທາງ SSH ແມ່ນເຄື່ອງແມ່ຂ່າຍຂອງ Linux ຢູ່ຫລັງ router. TCP Wrappers ອະນຸຍາດໃຫ້ການກັ່ນຕອງໂດຍ IP ກັບ hosts.allow ແລະ hosts.deny ກ່ຽວກັບການບໍລິການທີ່ເຂົ້າກັນໄດ້ (ລວມທັງ OpenSSH ໃນຫຼາຍການຕັ້ງຄ່າແບບດັ້ງເດີມ).
ຄວບຄຸມໄຟລ໌: ຖ້າພວກມັນບໍ່ມີ, ສ້າງພວກມັນດ້ວຍ sudo touch /etc/hosts.{allow,deny}. ການປະຕິບັດທີ່ດີທີ່ສຸດ: ປະຕິເສດທຸກສິ່ງທຸກຢ່າງໃນ hosts.deny ແລະອະນຸຍາດໃຫ້ມັນຢູ່ໃນ hosts.allow ຢ່າງຊັດເຈນ. ຕົວຢ່າງ: ໃນ /etc/hosts.deny pon sshd: ALL ແລະໃນ /etc/hosts.allow ເພີ່ມ sshd: 203.0.113.10, 198.51.100.0/24ດັ່ງນັ້ນ, ພຽງແຕ່ IPs ເຫຼົ່ານັ້ນຈະສາມາດເຂົ້າຫາ daemon SSH ຂອງເຄື່ອງແມ່ຂ່າຍ.
iptables Custom: ຖ້າ router ຫຼືເຄື່ອງແມ່ຂ່າຍຂອງທ່ານອະນຸຍາດໃຫ້ມັນ, ເພີ່ມກົດລະບຽບທີ່ພຽງແຕ່ຍອມຮັບ SSH ຈາກແຫຼ່ງສະເພາະ. ກົດລະບຽບປົກກະຕິຈະເປັນ: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT ປະຕິບັດຕາມໂດຍນະໂຍບາຍ DROP ເລີ່ມຕົ້ນຫຼືກົດລະບຽບທີ່ຂັດຂວາງສ່ວນທີ່ເຫຼືອ. ໃນ routers ທີ່ມີແຖບຂອງ ກົດລະບຽບທີ່ກໍາຫນົດເອງ ທ່ານສາມາດສີດສາຍເຫຼົ່ານີ້ແລະນໍາໃຊ້ພວກມັນດ້ວຍ "Save & Apply".
ການປະຕິບັດທີ່ດີທີ່ສຸດໃນ MikroTik (ໃຊ້ໄດ້ເປັນຄໍາແນະນໍາທົ່ວໄປ): ປ່ຽນພອດເລີ່ມຕົ້ນຖ້າເປັນໄປໄດ້, ປິດໃຊ້ງານ Telnet (ໃຊ້ພຽງແຕ່ SSH), ໃຊ້ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງຫຼື, ດີກວ່າ, ການຢືນຢັນລະຫັດຈໍາກັດການເຂົ້າເຖິງໂດຍທີ່ຢູ່ IP ການນໍາໃຊ້ firewall, ເປີດໃຊ້ງານ 2FA ຖ້າຫາກວ່າອຸປະກອນສະຫນັບສະຫນູນມັນ, ແລະເຮັດໃຫ້ເຟີມແວ / RouterOS ອັບເດດ. ປິດການເຂົ້າເຖິງ WAN ຖ້າທ່ານບໍ່ຕ້ອງການມັນມັນຕິດຕາມຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວແລະ, ຖ້າຈໍາເປັນ, ນໍາໃຊ້ການຈໍາກັດອັດຕາການເຊື່ອມຕໍ່ເພື່ອສະກັດກັ້ນການໂຈມຕີໂດຍບັງເອີນ.
TP-Link Classic Interface (ເຟີມແວເກົ່າ): ເຂົ້າສູ່ລະບົບແຜງໂດຍໃຊ້ທີ່ຢູ່ IP LAN (ຄ່າເລີ່ມຕົ້ນ 192.168.1.1) ແລະຂໍ້ມູນປະຈໍາຕົວຂອງ admin/admin, ຈາກນັ້ນໄປທີ່ ຄວາມປອດໄພ → Firewallເປີດໃຊ້ຕົວກອງ IP ແລະເລືອກທີ່ຈະມີແພັກເກັດທີ່ບໍ່ລະບຸປະຕິບັດຕາມນະໂຍບາຍທີ່ຕ້ອງການ. ຫຼັງຈາກນັ້ນ, ໃນ ການກັ່ນຕອງທີ່ຢູ່ IP, ກົດ "ຕື່ມໃຫມ່" ແລະກໍານົດ IPs ໃດສາມາດ ຫຼືບໍ່ສາມາດໃຊ້ພອດບໍລິການໄດ້ ໃນ WAN (ສໍາລັບ SSH, 22/tcp). ບັນທຶກແຕ່ລະຂັ້ນຕອນ. ນີ້ອະນຸຍາດໃຫ້ທ່ານນໍາໃຊ້ການປະຕິເສດທົ່ວໄປແລະສ້າງຂໍ້ຍົກເວັ້ນເພື່ອອະນຸຍາດໃຫ້ພຽງແຕ່ IPs ທີ່ເຊື່ອຖືໄດ້.
ຂັດຂວາງ IPs ສະເພາະທີ່ມີເສັ້ນທາງຄົງທີ່
ໃນບາງກໍລະນີມັນເປັນປະໂຫຍດທີ່ຈະສະກັດການອອກໄປຫາ IPs ສະເພາະເພື່ອປັບປຸງຄວາມຫມັ້ນຄົງກັບການບໍລິການບາງຢ່າງ (ເຊັ່ນ: ການຖ່າຍທອດ). ວິທີຫນຶ່ງທີ່ຈະເຮັດສິ່ງນີ້ໃນອຸປະກອນ TP-Link ຫຼາຍແມ່ນຜ່ານເສັ້ນທາງຄົງທີ່., ການສ້າງ / 32 ເສັ້ນທາງທີ່ຫຼີກເວັ້ນການໄປເຖິງຈຸດຫມາຍປາຍທາງເຫຼົ່ານັ້ນຫຼືນໍາພວກເຂົາໃນທາງທີ່ພວກມັນບໍ່ໄດ້ຖືກບໍລິໂພກໂດຍເສັ້ນທາງເລີ່ມຕົ້ນ (ການສະຫນັບສະຫນູນແຕກຕ່າງກັນໂດຍເຟີມແວ).
ຮຸ່ນຫຼ້າສຸດ: ໄປທີ່ແຖບ Advanced → Network → Advanced Routing → Static Routing ແລະກົດ "+ ຕື່ມ". ໃສ່ "ຈຸດຫມາຍປາຍທາງເຄືອຂ່າຍ" ທີ່ມີທີ່ຢູ່ IP ທີ່ຈະບລັອກ, "Subnet Mask" 255.255.255.255, "Default Gateway" ປະຕູ LAN (ປົກກະຕິ 192.168.0.1) ແລະ "Interface" LAN. ເລືອກ "ອະນຸຍາດໃຫ້ເຂົ້ານີ້" ແລະບັນທຶກເຮັດຊ້ໍາອີກຄັ້ງສໍາລັບແຕ່ລະທີ່ຢູ່ IP ເປົ້າຫມາຍຂຶ້ນຢູ່ກັບການບໍລິການທີ່ທ່ານຕ້ອງການທີ່ຈະຄວບຄຸມ.
ເຟີມແວເກົ່າ: ໄປທີ່ ເສັ້ນທາງຂັ້ນສູງ → ລາຍຊື່ເສັ້ນທາງຄົງທີ່, ກົດ "ຕື່ມໃຫມ່" ແລະຕື່ມຂໍ້ມູນໃສ່ໃນຊ່ອງດຽວກັນ. ເປີດໃຊ້ສະຖານະເສັ້ນທາງ ແລະບັນທຶກປຶກສາຫາລືກັບການຊ່ວຍເຫຼືອຂອງການບໍລິການຂອງທ່ານເພື່ອຊອກຫາວ່າ IPs ໃດທີ່ຈະປະຕິບັດ, ເພາະວ່າສິ່ງເຫຼົ່ານີ້ອາດຈະມີການປ່ຽນແປງ.
ການກວດສອບ: ເປີດ terminal ຫຼື command prompt ແລະທົດສອບດ້ວຍ ping 8.8.8.8 (ຫຼື IP ປາຍທາງທີ່ທ່ານໄດ້ບລັອກ). ຖ້າທ່ານເຫັນ "ຫມົດເວລາ" ຫຼື "ເຈົ້າພາບປາຍທາງບໍ່ສາມາດຕິດຕໍ່ໄດ້"ການຂັດຂວາງແມ່ນເຮັດວຽກ. ຖ້າບໍ່ແມ່ນ, ກວດເບິ່ງຂັ້ນຕອນ ແລະປິດເປີດ router ຄືນໃໝ່ເພື່ອໃຫ້ຕາຕະລາງທັງໝົດມີຜົນ.
ການກວດສອບ, ການທົດສອບ, ແລະການແກ້ໄຂເຫດການ
ເພື່ອກວດສອບວ່າບັນຊີຂາວ SSH ຂອງທ່ານເຮັດວຽກໄດ້, ລອງໃຊ້ທີ່ຢູ່ IP ທີ່ໄດ້ຮັບອະນຸຍາດ. ssh usuario@IP_WAN -p 22 (ຫຼືພອດທີ່ທ່ານໃຊ້) ແລະຢືນຢັນການເຂົ້າເຖິງ. ຈາກທີ່ຢູ່ IP ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ພອດບໍ່ຄວນໃຫ້ບໍລິການ.. ອາເມລິກາ nmap -p 22 IP_WAN ເພື່ອກວດກາເບິ່ງສະພາບຮ້ອນ.
ຖ້າມີບາງຢ່າງບໍ່ຕອບສະໜອງຕາມທີ່ຄວນ, ໃຫ້ກວດເບິ່ງບູລິມະສິດ ACL. ກົດລະບຽບໄດ້ຖືກດໍາເນີນການຕາມລໍາດັບ, ແລະຜູ້ທີ່ມີ ID ຕ່ໍາສຸດຊະນະ.ການປະຕິເສດຂ້າງເທິງການອະນຸຍາດຂອງທ່ານເຮັດໃຫ້ບັນຊີຂາວບໍ່ຖືກຕ້ອງ. ນອກຈາກນັ້ນ, ໃຫ້ກວດເບິ່ງວ່າ "ປະເພດການບໍລິການ" ຊີ້ໄປຫາພອດທີ່ຖືກຕ້ອງແລະ "ກຸ່ມ IP" ຂອງທ່ານມີຂອບເຂດທີ່ເຫມາະສົມ.
ໃນກໍລະນີທີ່ມີພຶດຕິກໍາທີ່ຫນ້າສົງໄສ (ການສູນເສຍການເຊື່ອມຕໍ່ຫຼັງຈາກເວລາໃດຫນຶ່ງ, ກົດລະບຽບທີ່ປ່ຽນແປງດ້ວຍຕົນເອງ, ການຈະລາຈອນ LAN ທີ່ຫຼຸດລົງ), ພິຈາລະນາ ປັບປຸງ firmwareປິດການບໍລິການທີ່ທ່ານບໍ່ໄດ້ນໍາໃຊ້ (ການບໍລິຫານເວັບຫ່າງໄກສອກຫຼີກ / Telnet / SSH), ປ່ຽນແປງໃບຢັ້ງຢືນ, ກວດສອບການ cloning MAC ຖ້າມີ, ແລະໃນທີ່ສຸດ, ກູ້ຄືນກັບການຕັ້ງຄ່າໂຮງງານ ແລະປັບຄ່າຄືນໃໝ່ດ້ວຍການຕັ້ງຄ່າໜ້ອຍສຸດ ແລະບັນຊີຂາວທີ່ເຂັ້ມງວດ.
ຄວາມເຂົ້າກັນໄດ້, ຮູບແບບ, ແລະບັນທຶກການມີຢູ່
ຄວາມພ້ອມຂອງຄຸນສົມບັດ (ACLs ຂອງລັດ, ໂປຣໄຟລ໌, ບັນຊີຂາວ, ການແກ້ໄຂ PVID ໃນພອດ, ແລະອື່ນໆ) ມັນອາດຈະຂຶ້ນກັບຮູບແບບຮາດແວແລະຮຸ່ນໃນບາງອຸປະກອນ, ເຊັ່ນ TL-R600VPN, ຄວາມສາມາດສະເພາະແມ່ນມີພຽງແຕ່ລຸ້ນ 4 ເປັນຕົ້ນໄປ. ການໂຕ້ຕອບຜູ້ໃຊ້ຍັງປ່ຽນແປງ, ແຕ່ຂະບວນການພື້ນຖານແມ່ນຄືກັນ: ການຂັດຂວາງໂດຍຄ່າເລີ່ມຕົ້ນ, ກໍານົດການບໍລິການແລະກຸ່ມ, ອະນຸຍາດໃຫ້ຈາກ IPs ສະເພາະແລະຕັນສ່ວນທີ່ເຫຼືອ.
ພາຍໃນລະບົບນິເວດ TP-Link, ມີອຸປະກອນຈໍານວນຫຼາຍທີ່ກ່ຽວຂ້ອງກັບເຄືອຂ່າຍວິສາຫະກິດ. ຕົວແບບທີ່ອ້າງອີງໃນເອກະສານປະກອບມີ T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-15TS, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700Q80G T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-5SL12028 T3700G-28TQ, T1500G-8T, T1700X-28TQໃນບັນດາຄົນອື່ນ. ຈົ່ງຈື່ໄວ້ວ່າ ຂໍ້ສະເໜີແຕກຕ່າງກັນໄປຕາມພາກພື້ນ. ແລະບາງອັນອາດຈະບໍ່ມີຢູ່ໃນພື້ນທີ່ຂອງເຈົ້າ.
ເພື່ອອັບເດດ, ເຂົ້າໄປເບິ່ງໜ້າສະໜັບສະໜຸນຜະລິດຕະພັນຂອງທ່ານ, ເລືອກລຸ້ນຮາດແວທີ່ຖືກຕ້ອງ, ແລະກວດເບິ່ງ ບັນທຶກເຟີມແວ ແລະຂໍ້ມູນສະເພາະທາງດ້ານວິຊາການ ກັບການປັບປຸງຫລ້າສຸດ. ບາງຄັ້ງການອັບເດດຂະຫຍາຍ ຫຼືປັບປຸງໄຟວໍ, ACL, ຫຼືຄຸນສົມບັດການຈັດການທາງໄກ.
ປິດ SSH ສໍາລັບ IPs ທັງຫມົດແຕ່ສະເພາະ, ການຈັດລະບຽບ ACLs ຢ່າງຖືກຕ້ອງແລະເຂົ້າໃຈວ່າກົນໄກຄວບຄຸມແຕ່ລະສິ່ງທີ່ຈະຊ່ວຍປະຢັດທ່ານຈາກຄວາມແປກໃຈທີ່ບໍ່ຫນ້າພໍໃຈ. ດ້ວຍນະໂຍບາຍການປະຕິເສດເລີ່ມຕົ້ນ, ບັນຊີຂາວທີ່ຊັດເຈນ, ແລະການກວດສອບປົກກະຕິເຣົາເຕີ TP-Link ຂອງທ່ານແລະການບໍລິການທີ່ຢູ່ເບື້ອງຫຼັງຂອງມັນຈະດີກ່ວາຫຼາຍໂດຍບໍ່ມີການປະຖິ້ມການຈັດການໃນເວລາທີ່ທ່ານຕ້ອງການ.
ມີຄວາມກະຕືລືລົ້ນກ່ຽວກັບເຕັກໂນໂລຢີຕັ້ງແຕ່ລາວຍັງນ້ອຍ. ຂ້ອຍຮັກການເປັນທັນສະໄຫມໃນຂະແຫນງການແລະ, ສໍາຄັນທີ່ສຸດ, ການສື່ສານມັນ. ນັ້ນແມ່ນເຫດຜົນທີ່ຂ້ອຍໄດ້ອຸທິດຕົນເພື່ອການສື່ສານໃນເວັບໄຊທ໌ເຕັກໂນໂລຢີແລະວິດີໂອເກມເປັນເວລາຫລາຍປີ. ທ່ານສາມາດຊອກຫາຂ້ອຍຂຽນກ່ຽວກັບ Android, Windows, MacOS, iOS, Nintendo ຫຼືຫົວຂໍ້ທີ່ກ່ຽວຂ້ອງອື່ນໆທີ່ເຂົ້າມາໃນໃຈ.