- Ataovy laharam-pahamehana ny politikan'ny fandavana ary ampiasao lisitra fotsy ho an'ny SSH.
- Manambatra ny NAT + ACL: manokatra ny seranan-tsambo ary mametra amin'ny loharano IP.
- Hamarino amin'ny nmap/ping ary hajao ny laharam-pahamehana (ID).
- Hamafiso amin'ny fanavaozana, fanalahidin'ny SSH ary serivisy kely indrindra.
¿Ahoana ny famerana ny fidirana SSH amin'ny router TP-Link amin'ny IP azo itokisana? Ny fanaraha-maso izay afaka miditra amin'ny tambajotrao amin'ny SSH dia tsy kisendrasendra, fa fiarovana tena ilaina. Avelao hiditra amin'ny adiresy IP azo itokisana ihany Mampihena ny endrik'ireo fanafihana, mampiadana ny fitarafana mandeha ho azy, ary manakana ny fidiran'ny Internet tsy tapaka.
Amin'ity torolàlana azo ampiharina sy feno ity dia ho hitanao ny fomba hanaovana izany amin'ny sehatra samihafa miaraka amin'ny fitaovana TP-Link (SMB sy Omada), izay tokony hodinihina amin'ny fitsipika ACL sy ny lisitra fotsy, ary ny fomba hanamarina fa mihidy tsara ny zava-drehetra. Ampidirinay ny fomba fanampiny toy ny TCP Wrappers, iptables, ary ny fanao tsara indrindra mba hahafahanao miantoka ny tontolo iainanao tsy misy fiatoana.
Nahoana no mametra ny fidirana SSH amin'ny router TP-Link
Manokatra varavarana ho an'ny famafana goavana ataon'ireo bots efa liana amin'ny fikasan-dratsy ny fampibaribary ny SSH amin'ny Internet. Tsy mahazatra ny mahita ny seranan-tsambo 22 azo idirana amin'ny WAN aorian'ny fizahana, araka ny voamarika ao amin'ny [ohatra amin'ny SSH]. tsy fahombiazana lehibe amin'ny router TP-Link. Ny baiko nmap tsotra dia azo ampiasaina hanamarinana raha manana seranan-tsambo 22 misokatra ny adiresy IP anao.: manatanteraka zavatra toy izao amin'ny milina ivelany nmap -vvv -p 22 TU_IP_PUBLICA ary jereo raha miseho ny "open ssh".
Na dia mampiasa fanalahidin'ny daholobe aza ianao, ny famelana ny seranan-tsambo 22 misokatra dia manasa fikarohana bebe kokoa, fitsapana seranan-tsambo hafa, ary fanafihana serivisy fitantanana. Mazava ny vahaolana: mandà amin'ny alàlan'ny default ary avelao avy amin'ny IP na faritra navela ihany.Aleo raikitra sy fehezinao. Raha tsy mila fitantanana lavitra ianao dia esory tanteraka amin'ny WAN izany.
Ho fanampin'ny fampiharihariana ny seranan-tsambo, dia misy toe-javatra mety ahianao ny fiovan'ny fitsipika na ny fitondran-tena tsy mety (ohatra, ny modem cable izay manomboka "mihena" ny fifamoivoizana mivoaka rehefa afaka kelikely). Raha tsikaritrareo fa ny ping, ny traceroute, na ny fitetezana dia tsy mandeha amin'ny modem, jereo ny fikandrana, ny firmware, ary diniho ny famerenana ny toeran'ny orinasa. ary akatony izay rehetra tsy ampiasainao.
Modely ara-tsaina: sakanana amin'ny alàlan'ny default ary mamorona lisitra fotsy
Tsotra ny filozofia mpandresy: fitsipika mandà tsy misy fepetra sy maningana mazavaAmin'ny router TP-Link maro misy interface tsara, azonao atao ny mametraka politikam-pidirana lavitra karazana Drop-type ao amin'ny firewall, ary avy eo mamela adiresy manokana ao anaty lisitra fotsy ho an'ny serivisy fitantanana.
Amin'ny rafitra misy safidy "Politika fidirana lavitra" sy "fitsipika Whitelist" (amin'ny pejy Network - Firewall), Atsaharo ny marika amin'ny politika fidirana lavitra Ary ampio ao amin'ny lisitra fotsy ny IP ho an'ny daholobe amin'ny endrika CIDR XXXX/XX izay tokony ho tonga amin'ny fandrindrana na serivisy toy ny SSH/Telnet/HTTP(S). Ireo fidirana ireo dia mety ahitana famaritana fohy mba hisorohana ny fisafotofotoana any aoriana.
Zava-dehibe ny mahatakatra ny fahasamihafana misy eo amin'ny mekanisma. Ny fandefasana seranan-tsambo (NAT/DNAT) dia mamindra ny seranana amin'ny milina LANRaha mifehy ny fifamoivoizana WAN-to-LAN na internetwork ny "Filtering rules", dia ny "Whitelist rules" an'ny firewall no mifehy ny fidirana amin'ny rafitra fitantanana ny router. Ny fitsipika sivana dia tsy manakana ny fidirana amin'ny fitaovana; noho izany, mampiasa lisitra fotsy ianao na fitsipika manokana momba ny fifamoivoizana miditra amin'ny router.
Mba hidirana amin'ny serivisy anatiny dia noforonina ao amin'ny NAT ny sarintany seranan-tsambo ary avy eo dia voafetra ihany izay afaka manatratra izany sarintany izany avy any ivelany. Ny fomba fanamboarana dia: sokafy ny seranan-tsambo ilaina ary avy eo ferana amin'ny fanaraha-maso ny fidirana. izay mamela loharano nahazo alalana ihany no mandalo sy manakana ny ambiny.
SSH avy amin'ny IP azo itokisana amin'ny TP-Link SMB (ER6120/ER8411 sy mitovitovy)
Ao amin'ny router SMB toy ny TL-ER6120 na ER8411, ny lamina mahazatra amin'ny dokam-barotra serivisy LAN (ohatra, SSH amin'ny mpizara anatiny) ary mametra izany amin'ny loharano IP dia dingana roa. Voalohany, misokatra amin'ny Virtual Server (NAT) ny seranana, ary avy eo dia voasivana amin'ny Access Control. mifototra amin'ny vondrona IP sy ny karazana serivisy.
Dingana 1 - Server virtoaly: mandehana mankany Advanced → NAT → Virtual Server ary mamorona fidirana ho an'ny interface WAN mifanaraka aminy. Ampifanaraho ny seranan-tsambo ivelany 22 ary atoroy ny adiresy IP anatiny an'ny mpizara (ohatra, 192.168.0.2:22)Tehirizo ny fitsipika hanampiana azy amin'ny lisitra. Raha mampiasa seranan-tsambo hafa ny raharahanao (ohatra, nanova SSH ho 2222 ianao), amboary araka izany ny sandany.
Dingana 2 - Karazana serivisy: miditra Préférences → Karazana serivisy, mamorona serivisy vaovao antsoina, ohatra, SSH, safidio TCP na TCP/UDP ary farito ny seranan-tsambo 22 haleha (mety ho 0–65535 ny seranan-tsambo loharano). Ity sosona ity dia ahafahanao manondro ny seranana madio ao amin'ny ACL.
Dingana 3 - Vondrona IP: mandehana mankany Préférences → IP Group → IP Address ary ampio ny fidirana ho an'ny loharano navela (oh: ny IP an'ny besinimaro na ny faritra iray, antsoina hoe "Access_Client") sy ny loharanon'ny toerana haleha (oh: "SSH_Server" miaraka amin'ny IP anatiny an'ny mpizara). Avy eo dia ampifandraiso amin'ny vondrona IP mifanaraka aminy ny adiresy tsirairay ao anatin'io menu io ihany.
Dingana 4 - Fanaraha-maso ny fidirana: in Firewall → Fanaraha-maso ny fidirana Mamorona fitsipika roa. 1) Avelao ny fitsipika: Avelao ny politika, serivisy "SSH" vao haingana, Source = vondrona IP "Access_Client" sy destination = "SSH_Server". Omeo ID 1. 2) Fitsipika fanakanana: Politika sakana miaraka amin'ny source = IPGROUP_ANY ary destination = "SSH_Server" (na raha azo ampiharina) miaraka amin'ny ID 2. Amin'izany fomba izany, ny IP na faritra azo itokisana ihany no handeha amin'ny NAT mankany amin'ny SSH-nao; hosakanana ny ambiny.
Tena ilaina ny filaharan'ny fanombanana. Laharam-pahamehana ny ID ambanyNoho izany, ny fitsipika Allow dia tsy maintsy mialoha (ID ambany) ny fitsipika Block. Aorian'ny fampiharana ireo fanovana dia afaka mifandray amin'ny adiresy IP WAN an'ny router ianao amin'ny seranana voafaritra avy amin'ny adiresy IP navela, fa ny fifandraisana avy amin'ny loharano hafa dia ho voasakana.
Fanamarihana modely/firmware: Ny interface dia mety miovaova eo amin'ny fitaovana sy ny dikan-teny. Ny TL-R600VPN dia mitaky fitaovana v4 mba handrakofana ny fiasa sasanyAry amin'ny rafitra samihafa dia azo afindra toerana ny menus. Na izany aza dia mitovy ihany ny fandehany: karazana serivisy → vondrona IP → ACL miaraka amin'ny Allow sy Block. Aza adino tehirizo ary ampiharo mba hampiharana ny fitsipika.
Fanamarinana soso-kevitra: Avy amin'ny adiresy IP nahazo alalana, andramo ssh usuario@IP_WAN ary manamarina ny fidirana. Avy amin'ny adiresy IP hafa, ny seranan-tsambo dia tokony ho lasa tsy azo idirana. (fifandraisana tsy tonga na lavina, raha tsy misy sora-baventy mba hialana amin'ny fanomezana famantarana).
ACL miaraka amin'ny Omada Controller: Lisitra, Fanjakana ary Ohatra Scenarios
Raha mitantana vavahady TP-Link miaraka amin'ny Omada Controller ianao, dia mitovy ny lojika saingy misy safidy hita maso kokoa. Mamorona vondrona (IP na seranana), farito ny ACL vavahady, ary alamino ny fitsipika hamela ny kely indrindra ary handà ny zavatra hafa rehetra.
Lisitra sy vondrona: in Settings → Profiles → Groups Azonao atao ny mamorona vondrona IP (subnets na mpampiantrano, toy ny 192.168.0.32/27 na 192.168.30.100/32) ary koa vondrona seranan-tsambo (ohatra, HTTP 80 sy DNS 53). Manatsotra fitsipika sarotra ireo vondrona ireo amin'ny fampiasana zavatra indray.
Gateway ACL: mandeha Configuration → Network Security → ACL Manampia fitsipika miaraka amin'ny LAN→WAN, LAN→LAN na WAN→LAN lalana miankina amin'ny zavatra tianao harovana. Ny politika ho an'ny fitsipika tsirairay dia mety Avela na Lavina. ary ny baiko no mamaritra ny tena vokatra. Jereo ny "Enable" mba hampavitrika azy ireo. Ny dikan-teny sasany dia mamela anao handao ny fitsipika voaomana sy tsy misy kilema.
Tranga mahasoa (azo ampifanarahana amin'ny SSH): avelao ny serivisy manokana ary sakanana ny ambiny (oh: Avelao ny DNS sy HTTP ary avy eo Laviny daholo). Ho an'ny lisitra fotsy fitantanana, mamorona Allow avy amin'ny IP azo itokisana mankany amin'ny "Pejy fitantanana vavahady" ary avy eo fandavana ankapobeny avy amin'ny tambajotra hafa. Raha manana an'io safidy io ny firmware anao. BidirectionalAfaka mamorona ho azy ny fitsipika inverse ianao.
Toetran'ny fifandraisana: Ny ACL dia mety ho fanjakana. Ny karazana mahazatra dia New, Established, Related, ary Invalid"Vaovao" no mitantana ny fonosana voalohany (oh : SYN ao amin'ny TCP), ny "Established" dia mitantana ny fifamoivoizan'ny roa tonta teo aloha, ny "Related" dia mitantana ny fifandraisana miankina (toy ny fantsona angon-drakitra FTP), ary ny "Invalid" dia mitantana fifamoivoizana tsy misy dikany. Amin'ny ankapobeny dia tsara kokoa ny mitazona ny firafitry ny default raha tsy mila granularity fanampiny ianao.
VLAN sy fizarana: manohana ny router Omada sy SMB scenario unidirectional sy bidirectional eo anelanelan'ny VLANAzonao atao ny manakana ny Marketing→R&D fa mamela ny R&D→Marketing, na manakana ny lalana roa ary manome alalana mpitantana iray manokana. Ny LAN → LAN tari-dalana ao amin'ny ACL dia ampiasaina mba hifehy ny fifamoivoizana eo amin'ny subnets anatiny.
Fomba sy fanamafisana fanampiny: TCP Wrappers, iptables, MikroTik ary firewall mahazatra
Ho fanampin'ny ACL ny router dia misy sosona hafa tokony hampiharina, indrindra raha mpizara Linux ao ambadiky ny router ny toerana SSH. Ny TCP Wrappers dia mamela ny sivana amin'ny IP miaraka amin'ny hosts.allow sy hosts.deny amin'ny serivisy mifanentana (anisan'izany ny OpenSSH amin'ny fanamboarana nentim-paharazana maro).
Fanaraha-maso ny rakitra: raha tsy misy izy ireo dia mamorona azy miaraka sudo touch /etc/hosts.{allow,deny}. Fomba fanao tsara indrindra: mandà ny zava-drehetra ao amin'ny hosts.deny ary mamela azy mazava ao amin'ny hosts.allow. Ohatra: in /etc/hosts.deny Pon sshd: ALL ary ao /etc/hosts.allow manampy sshd: 203.0.113.10, 198.51.100.0/24Noho izany, ireo IP ireo ihany no afaka manatratra ny daemon SSH an'ny mpizara.
Custom iptables: Raha avelan'ny router na mpizara anao izany, ampio fitsipika izay manaiky SSH avy amin'ny loharano manokana ihany. Fitsipika mahazatra: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT arahin'ny politikan'ny DROP default na fitsipika manakana ny ambiny. Amin'ny router miaraka amin'ny tabilao misy Fitsipika mahazatra Azonao atao ny manindrona ireo tsipika ireo ary mampihatra azy ireo amin'ny "Save & Apply".
Fomba fanao tsara indrindra amin'ny MikroTik (azo ampiharina amin'ny torolàlana ankapobeny): manova ny seranan-tsambo mahazatra raha azo atao, deactivate Telnet (mampiasa SSH ihany), mampiasa tenimiafina matanjaka na, tsara kokoa, fanamarinana fanalahidyFero ny fidirana amin'ny alàlan'ny adiresy IP amin'ny alàlan'ny firewall, avelao ny 2FA raha manohana azy ilay fitaovana, ary tehirizo hatrany ny firmware/RouterOS. Atsaharo ny fidirana WAN raha tsy mila izany ianaoManara-maso ny andrana tsy nahomby ary, raha ilaina, dia mampihatra ny fetran'ny tahan'ny fifandraisana mba hanakanana ny fanafihana mahery vaika.
TP-Link Classic Interface (Older Firmware): Midira ao amin'ny tontonana mampiasa ny adiresy IP LAN (default 192.168.1.1) sy ny fahazoan-dàlana admin/admin, dia mandehana any Fiarovana → FirewallAlefaso ny sivana IP ary misafidy ny hanana fonosana tsy voafaritra manaraka ny politika irina. Avy eo, in Sivana adiresy IP, tsindrio "Ampio vaovao" ary mamaritra izay IP afaka na tsy afaka mampiasa ny seranan-tsambo serivisy amin'ny WAN (ho an'ny SSH, 22/tcp). Tehirizo ny dingana tsirairay. Izany dia ahafahanao mampihatra fandà faobe ary mamorona fanavahana mba hamelana ireo IP azo itokisana ihany.
Sakanana IP manokana miaraka amin'ny lalana static
Amin'ny toe-javatra sasany dia ilaina ny manakana ny fivoahana amin'ny IP manokana mba hanatsarana ny fitoniana amin'ny serivisy sasany (toy ny streaming). Ny fomba iray hanaovana izany amin'ny fitaovana TP-Link marobe dia amin'ny alàlan'ny fandalovana static., mamorona lalana /32 izay tsy tonga any amin'ireo toerana ireo na mitarika azy ireo amin'ny fomba izay tsy ho lanin'ny lalana mahazatra (miovaova arakaraka ny firmware ny fanohanana).
Modely vao haingana: mandehana amin'ny tabilao Advanced → Network → Advanced Routing → Static Routing ary tsindrio "+ Add". Ampidiro ny "Destination Network" miaraka amin'ny adiresy IP hosakanana, "Subnet Mask" 255.255.255.255, "Default Gateway" ny vavahady LAN (matetika 192.168.0.1) ary "Interface" LAN. Safidio ny "Allow this entry" ary tehirizoAvereno isaky ny adiresy IP kendrena miankina amin'ny serivisy tianao hofehezina.
Firmwares taloha: mandehana any Fandrosoana mandroso → Lisitry ny lalana static, tsindrio "Ampio vaovao" ary fenoy ireo saha mitovy. Ampidiro ny satan'ny lalana ary tehirizoMiresaha amin'ny fanohanan'ny serivisinao mba hahitana izay IP tokony hotsaboina, satria mety hiova ireo.
Fanamarinana: Sokafy terminal na baikon'ny baiko ary andramo amin'ny ping 8.8.8.8 (na ny adiresy IP nosakananao). Raha hitanao ny "Fotoana" na "Tsy azo tratrarina ny mpampiantrano toerana"Miasa ny fanakanana. Raha tsy izany, avereno jerena ny dingana ary avereno indray ny router mba hampiharana ny latabatra rehetra.
Fanamarinana, fitsapana ary famahana ny zava-nitranga
Mba hanamarinana fa miasa ny lisitra fotsy SSH anao, andramo mampiasa adiresy IP nahazo alalana. ssh usuario@IP_WAN -p 22 (na ny seranana ampiasainao) ary hamafiso ny fidirana. Avy amin'ny adiresy IP tsy nahazoana alalana dia tsy tokony hanolotra serivisy ny seranana.. USA nmap -p 22 IP_WAN mba hijery ny toe-javatra mafana.
Raha misy zavatra tsy mamaly araka ny tokony ho izy dia jereo ny laharam-pahamehana ACL. Ny fitsipika dia karakaraina misesy, ary ireo izay manana ID ambany indrindra dia mandresy.Ny fandavana eo ambonin'ny Avelanao dia manafoana ny lisitra fotsy. Jereo koa fa ny "Service Type" dia manondro ny seranan-tsambo marina ary ny "IP Groups" anao dia misy ny faritra mety.
Raha misy fihetsika mampiahiahy (fahaverezan'ny fifandraisana rehefa afaka kelikely, ny fitsipika miova ho azy, ny fifamoivoizana LAN midina), dia diniho manavao ny firmwareAtsaharo ny serivisy tsy ampiasainao (fitantanam-pifandraisana lavitra / Telnet / SSH), ovay ny fahazoan-dàlana, jereo ny kloning MAC raha azo atao, ary farany, Avereno amin'ny toeran'ny orinasa ary amboary amin'ny fika kely indrindra sy lisitra fotsy henjana.
Mifanaraka, modely ary naoty misy
Ny fisian'ny endri-javatra (ACLs, mombamomba, lisitra fotsy, fanovana PVID amin'ny seranana, sns.) Mety miankina amin'ny modely sy ny dikan'ny fitaovana izanyAmin'ny fitaovana sasany, toy ny TL-R600VPN, ny fahaiza-manao sasany dia tsy misy afa-tsy manomboka amin'ny version 4. Miova ihany koa ny fifandraisan'ny mpampiasa, fa ny dingana fototra dia mitovy: fanakanana amin'ny alàlan'ny default, mamaritra ny tolotra sy ny vondrona, avelao avy amin'ny IP manokana ary sakanana ny ambiny.
Ao anatin'ny ecosystem TP-Link dia misy fitaovana maro tafiditra amin'ny tambajotra orinasa. Ny modely voalaza ao amin'ny antontan-taratasy dia misy T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, 21 T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3216, T3700G-TL5700G T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL26008G, TSL2600G T3700G-28TQ, T1500G-8T, T1700X-28TQankoatra ny hafa. Ataovy ao an-tsaina izany Miovaova arakaraka ny faritra ny tolotra. ary mety tsy hita ao amin'ny faritra misy anao ny sasany.
Raha te hahalala vaovao ianao dia tsidiho ny pejin'ny fanohanana ny vokatrao, safidio ny kinova hardware marina, ary jereo naoty firmware sy ny fepetra ara-teknika miaraka amin'ny fanatsarana farany. Indraindray ny fanavaozam-baovao dia manitatra na manadio ny firewall, ACL, na ny endri-pitantanana lavitra.
Akatony ny SSH Ho an'ny IP rehetra afa-tsy manokana, ny fandaminana tsara ny ACL sy ny fahatakarana ny rafitra mifehy ny zavatra tsirairay dia mamonjy anao amin'ny tsy ampoizina tsy mahafinaritra. Miaraka amin'ny politikan'ny fandavana mahazatra, lisitra fotsy marina ary fanamarinana tsy tapakaNy router TP-Link anao sy ny serivisy ao ambadik'izany dia ho voaro tsara kokoa raha tsy miala amin'ny fitantanana rehefa mila izany ianao.
Tena tia ny teknolojia hatramin'ny fahazazany. Tiako ny manaraka ny vaovao amin'ny sehatra ary indrindra indrindra, mampita izany. Izany no antony nanokanako ny fifandraisana amin'ny teknolojia sy tranonkala lalao video nandritra ny taona maro. Azonao atao ny mahita ahy manoratra momba ny Android, Windows, MacOS, iOS, Nintendo na lohahevitra mifandraika hafa tonga ao an-tsainao.