വിശ്വസനീയമായ ഐപി വിലാസങ്ങളിലേക്ക് ഒരു ടിപി-ലിങ്ക് റൂട്ടറിലേക്കുള്ള എസ്എസ്എച്ച് ആക്സസ് എങ്ങനെ നിയന്ത്രിക്കാം

¿വിശ്വസനീയമായ IP വിലാസങ്ങളിലേക്ക് ഒരു TP-Link റൂട്ടറിലേക്കുള്ള SSH ആക്‌സസ് എങ്ങനെ പരിമിതപ്പെടുത്താം? SSH വഴി നിങ്ങളുടെ നെറ്റ്‌വർക്ക് ആർക്കൊക്കെ ആക്‌സസ് ചെയ്യാനാകുമെന്ന് നിയന്ത്രിക്കുന്നത് ഒരു മിഥ്യയല്ല, അത് അത്യാവശ്യമായ ഒരു സുരക്ഷാ പാളിയാണ്. വിശ്വസനീയമായ ഐപി വിലാസങ്ങളിൽ നിന്ന് മാത്രം ആക്‌സസ് അനുവദിക്കുക. ഇത് ആക്രമണ പ്രതലം കുറയ്ക്കുകയും, യാന്ത്രിക സ്കാനുകൾ മന്ദഗതിയിലാക്കുകയും, ഇന്റർനെറ്റിൽ നിന്നുള്ള നിരന്തരമായ നുഴഞ്ഞുകയറ്റ ശ്രമങ്ങളെ തടയുകയും ചെയ്യുന്നു.

ഈ പ്രായോഗികവും സമഗ്രവുമായ ഗൈഡിൽ, TP-Link ഉപകരണങ്ങൾ (SMB, Omada) ഉപയോഗിച്ച് വ്യത്യസ്ത സാഹചര്യങ്ങളിൽ ഇത് എങ്ങനെ ചെയ്യാമെന്നും, ACL നിയമങ്ങളും വൈറ്റ്‌ലിസ്റ്റുകളും ഉപയോഗിക്കുമ്പോൾ എന്തൊക്കെ പരിഗണിക്കണമെന്നും, എല്ലാം ശരിയായി അടച്ചിട്ടുണ്ടെന്ന് എങ്ങനെ പരിശോധിക്കാമെന്നും നിങ്ങൾ കാണും. TCP റാപ്പറുകൾ, iptables, മികച്ച രീതികൾ എന്നിവ പോലുള്ള അധിക രീതികൾ ഞങ്ങൾ സംയോജിപ്പിക്കുന്നു. അതിനാൽ നിങ്ങൾക്ക് ഒരു തടസ്സവും അവശേഷിപ്പിക്കാതെ നിങ്ങളുടെ പരിസ്ഥിതി സുരക്ഷിതമാക്കാൻ കഴിയും.

ടിപി-ലിങ്ക് റൂട്ടറുകളിൽ എസ്എസ്എച്ച് ആക്സസ് പരിമിതപ്പെടുത്തുന്നത് എന്തുകൊണ്ട്?

ഇന്റർനെറ്റിൽ SSH തുറന്നുകാട്ടുന്നത്, ക്ഷുദ്രകരമായ ഉദ്ദേശ്യത്തോടെയുള്ള ജിജ്ഞാസയുള്ള ബോട്ടുകളുടെ വൻതോതിലുള്ള ആക്രമണങ്ങൾക്ക് വഴിയൊരുക്കുന്നു. [SSH ഉദാഹരണങ്ങളിൽ] നിരീക്ഷിച്ചതുപോലെ, ഒരു സ്കാനിനുശേഷം WAN-ൽ ആക്‌സസ് ചെയ്യാവുന്ന പോർട്ട് 22 കണ്ടെത്തുന്നത് അസാധാരണമല്ല. ടിപി-ലിങ്ക് റൂട്ടറുകളിലെ ഗുരുതരമായ പരാജയങ്ങൾ. നിങ്ങളുടെ പൊതു ഐപി വിലാസത്തിൽ പോർട്ട് 22 തുറന്നിട്ടുണ്ടോ എന്ന് പരിശോധിക്കാൻ ഒരു ലളിതമായ nmap കമാൻഡ് ഉപയോഗിക്കാം.: ഒരു ബാഹ്യ മെഷീനിൽ ഇതുപോലുള്ള ഒന്ന് നടപ്പിലാക്കുന്നു nmap -vvv -p 22 TU_IP_PUBLICA "open ssh" പ്രത്യക്ഷപ്പെടുന്നുണ്ടോ എന്ന് പരിശോധിക്കുക.

നിങ്ങൾ പൊതു കീകൾ ഉപയോഗിച്ചാലും, പോർട്ട് 22 തുറന്നിടുന്നത് കൂടുതൽ പര്യവേക്ഷണം നടത്താനും, മറ്റ് പോർട്ടുകൾ പരീക്ഷിക്കാനും, മാനേജ്മെന്റ് സേവനങ്ങളെ ആക്രമിക്കാനും നിങ്ങളെ അനുവദിക്കുന്നു. പരിഹാരം വ്യക്തമാണ്: സ്ഥിരസ്ഥിതിയായി നിരസിക്കുക, അനുവദനീയമായ IP-കളിൽ നിന്നോ ശ്രേണികളിൽ നിന്നോ മാത്രം പ്രാപ്തമാക്കുക.നിങ്ങൾ തന്നെ ശരിയാക്കി നിയന്ത്രിക്കുന്നതാണ് അഭികാമ്യം. റിമോട്ട് മാനേജ്മെന്റ് ആവശ്യമില്ലെങ്കിൽ, WAN-ൽ അത് പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കുക.

പോർട്ടുകൾ തുറന്നുകാട്ടുന്നതിനു പുറമേ, നിയമ മാറ്റങ്ങളോ അസാധാരണമായ പെരുമാറ്റമോ നിങ്ങൾ സംശയിച്ചേക്കാവുന്ന സാഹചര്യങ്ങളുണ്ട് (ഉദാഹരണത്തിന്, കുറച്ച് സമയത്തിന് ശേഷം ഔട്ട്‌ഗോയിംഗ് ട്രാഫിക് "ഡ്രോപ്പ്" ചെയ്യാൻ തുടങ്ങുന്ന ഒരു കേബിൾ മോഡം). പിംഗ്, ട്രേസറൂട്ട് അല്ലെങ്കിൽ ബ്രൗസിംഗ് മോഡം കടന്നുപോകുന്നില്ലെന്ന് നിങ്ങൾ ശ്രദ്ധയിൽപ്പെട്ടാൽ, ക്രമീകരണങ്ങൾ, ഫേംവെയർ എന്നിവ പരിശോധിക്കുക, ഫാക്ടറി ക്രമീകരണങ്ങൾ പുനഃസ്ഥാപിക്കുന്നത് പരിഗണിക്കുക. ഉപയോഗിക്കാത്തതെല്ലാം അടയ്ക്കുക.

മാനസിക മാതൃക: സ്ഥിരസ്ഥിതിയായി ബ്ലോക്ക് ചെയ്‌ത് ഒരു വൈറ്റ്‌ലിസ്റ്റ് സൃഷ്‌ടിക്കുക.

വിജയത്തിന്റെ തത്വശാസ്ത്രം ലളിതമാണ്: ഡിഫോൾട്ട് നിഷേധ നയവും വ്യക്തമായ ഒഴിവാക്കലുകളുംവിപുലമായ ഇന്റർഫേസുള്ള നിരവധി ടിപി-ലിങ്ക് റൂട്ടറുകളിൽ, നിങ്ങൾക്ക് ഫയർവാളിൽ ഒരു ഡ്രോപ്പ്-ടൈപ്പ് റിമോട്ട് ഇൻഗ്രെസ് പോളിസി സജ്ജീകരിക്കാനും തുടർന്ന് മാനേജ്മെന്റ് സേവനങ്ങൾക്കായി വൈറ്റ്‌ലിസ്റ്റിൽ നിർദ്ദിഷ്ട വിലാസങ്ങൾ അനുവദിക്കാനും കഴിയും.

"റിമോട്ട് ഇൻപുട്ട് പോളിസി", "വൈറ്റ്‌ലിസ്റ്റ് നിയമങ്ങൾ" ഓപ്ഷനുകൾ ഉൾപ്പെടുന്ന സിസ്റ്റങ്ങളിൽ (നെറ്റ്‌വർക്ക് - ഫയർവാൾ പേജുകളിൽ), റിമോട്ട് എൻട്രി പോളിസിയിൽ ബ്രാൻഡ് ഉൾപ്പെടുത്തുക കൂടാതെ, SSH/Telnet/HTTP(S) പോലുള്ള കോൺഫിഗറേഷനുകളിലേക്കോ സേവനങ്ങളിലേക്കോ എത്തിച്ചേരാൻ കഴിയുന്ന XXXX/XX CIDR ഫോർമാറ്റിലുള്ള പബ്ലിക് ഐപികൾ വൈറ്റ്‌ലിസ്റ്റിലേക്ക് ചേർക്കുക. പിന്നീട് ആശയക്കുഴപ്പം ഒഴിവാക്കാൻ ഈ എൻട്രികളിൽ ഒരു ചെറിയ വിവരണം ഉൾപ്പെടുത്താം.

മെക്കാനിസങ്ങൾ തമ്മിലുള്ള വ്യത്യാസം മനസ്സിലാക്കേണ്ടത് നിർണായകമാണ്. പോർട്ട് ഫോർവേഡിംഗ് (NAT/DNAT) പോർട്ടുകളെ LAN മെഷീനുകളിലേക്ക് റീഡയറക്‌ട് ചെയ്യുന്നു."ഫിൽട്ടറിംഗ് നിയമങ്ങൾ" WAN-to-LAN അല്ലെങ്കിൽ ഇന്റർ-നെറ്റ്‌വർക്ക് ട്രാഫിക് നിയന്ത്രിക്കുമ്പോൾ, ഫയർവാളിന്റെ "വൈറ്റ്‌ലിസ്റ്റ് നിയമങ്ങൾ" റൂട്ടറിന്റെ മാനേജ്‌മെന്റ് സിസ്റ്റത്തിലേക്കുള്ള ആക്‌സസ് നിയന്ത്രിക്കുന്നു. ഫിൽട്ടറിംഗ് നിയമങ്ങൾ ഉപകരണത്തിലേക്കുള്ള ആക്‌സസ് തടയുന്നില്ല; അതിനായി, നിങ്ങൾ വൈറ്റ്‌ലിസ്റ്റുകളോ റൂട്ടറിലേക്കുള്ള ഇൻകമിംഗ് ട്രാഫിക്കിനെക്കുറിച്ചുള്ള പ്രത്യേക നിയമങ്ങളോ ഉപയോഗിക്കുന്നു.

ആന്തരിക സേവനങ്ങൾ ആക്‌സസ് ചെയ്യുന്നതിന്, NAT-ൽ പോർട്ട് മാപ്പിംഗ് സൃഷ്ടിക്കപ്പെടുന്നു, തുടർന്ന് പുറത്തു നിന്ന് ആ മാപ്പിംഗിൽ ആർക്കൊക്കെ എത്തിച്ചേരാനാകുമെന്ന് പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. പാചകക്കുറിപ്പ് ഇതാണ്: ആവശ്യമായ പോർട്ട് തുറന്ന് ആക്സസ് കൺട്രോൾ ഉപയോഗിച്ച് അത് നിയന്ത്രിക്കുക. അത് അംഗീകൃത സ്രോതസ്സുകളെ മാത്രം കടന്നുപോകാൻ അനുവദിക്കുകയും ബാക്കിയുള്ളവ തടയുകയും ചെയ്യുന്നു.

TP-Link SMB-യിലെ വിശ്വസനീയ IP-കളിൽ നിന്നുള്ള SSH (ER6120/ER8411 ഉം സമാനമായതും)

TL-ER6120 അല്ലെങ്കിൽ ER8411 പോലുള്ള SMB റൂട്ടറുകളിൽ, ഒരു LAN സേവനം പരസ്യപ്പെടുത്തുന്നതിനും (ഉദാഹരണത്തിന്, ഒരു ആന്തരിക സെർവറിലെ SSH) സോഴ്‌സ് IP വഴി പരിമിതപ്പെടുത്തുന്നതിനുമുള്ള സാധാരണ പാറ്റേൺ രണ്ട്-ഘട്ടമാണ്. ആദ്യം, ഒരു വെർച്വൽ സെർവർ (NAT) ഉപയോഗിച്ച് പോർട്ട് തുറക്കുന്നു, തുടർന്ന് അത് ആക്സസ് കൺട്രോൾ ഉപയോഗിച്ച് ഫിൽട്ടർ ചെയ്യുന്നു. ഐപി ഗ്രൂപ്പുകളെയും സേവന തരങ്ങളെയും അടിസ്ഥാനമാക്കി.

ഘട്ടം 1 - വെർച്വൽ സെർവർ: പോകുക വിപുലമായത് → NAT → വെർച്വൽ സെർവർ കൂടാതെ അനുബന്ധ WAN ഇന്റർഫേസിനായി ഒരു എൻട്രി സൃഷ്ടിക്കുന്നു. ബാഹ്യ പോർട്ട് 22 കോൺഫിഗർ ചെയ്ത് സെർവറിന്റെ ആന്തരിക IP വിലാസത്തിലേക്ക് പോയിന്റ് ചെയ്യുക (ഉദാഹരണത്തിന്, 192.168.0.2:22)ലിസ്റ്റിലേക്ക് ചേർക്കാൻ നിയമം സംരക്ഷിക്കുക. നിങ്ങളുടെ കേസ് മറ്റൊരു പോർട്ട് ഉപയോഗിക്കുകയാണെങ്കിൽ (ഉദാ. നിങ്ങൾ SSH 2222 ആയി മാറ്റി), അതിനനുസരിച്ച് മൂല്യം ക്രമീകരിക്കുക.

ഘട്ടം 2 - സേവന തരം: നൽകുക മുൻഗണനകൾ → സേവന തരം, എന്ന പേരിൽ ഒരു പുതിയ സേവനം സൃഷ്ടിക്കുക, ഉദാഹരണത്തിന്, SSH, തിരഞ്ഞെടുക്കുക ടിസിപി അല്ലെങ്കിൽ ടിസിപി/യുഡിപി ഡെസ്റ്റിനേഷൻ പോർട്ട് 22 നിർവചിക്കുക (സോഴ്സ് പോർട്ട് ശ്രേണി 0–65535 ആകാം). ഈ ലെയർ നിങ്ങളെ ACL-ൽ പോർട്ട് വൃത്തിയായി റഫറൻസ് ചെയ്യാൻ അനുവദിക്കും..

ഘട്ടം 3 - ഐപി ഗ്രൂപ്പ്: പോകുക മുൻഗണനകൾ → IP ഗ്രൂപ്പ് → IP വിലാസം അനുവദനീയമായ ഉറവിടത്തിനും (ഉദാ. നിങ്ങളുടെ പൊതു IP അല്ലെങ്കിൽ "Access_Client" എന്ന് പേരുള്ള ഒരു ശ്രേണി) ലക്ഷ്യസ്ഥാന ഉറവിടത്തിനും (ഉദാ. സെർവറിന്റെ ആന്തരിക IP ഉള്ള "SSH_Server") എൻട്രികൾ ചേർക്കുക. തുടർന്ന് ഓരോ വിലാസവും അതിന്റെ അനുബന്ധ ഐപി ഗ്രൂപ്പുമായി ബന്ധിപ്പിക്കുക. ഒരേ മെനുവിൽ.

ഘട്ടം 4 - ആക്‌സസ് നിയന്ത്രണം: ഇൻ ഫയർവാൾ → ആക്‌സസ് നിയന്ത്രണം രണ്ട് നിയമങ്ങൾ സൃഷ്ടിക്കുക. 1) അനുവദിക്കുക നിയമം: അനുവദിക്കുക നയം, പുതുതായി നിർവചിച്ച "SSH" സേവനം, ഉറവിടം = IP ഗ്രൂപ്പ് "Access_Client" ഉം ലക്ഷ്യസ്ഥാനം = "SSH_Server" ഉം. അതിന് ഐഡി നൽകുക 1. 2) ബ്ലോക്കിംഗ് റൂൾ: ഉറവിടം = IPGROUP_ANY ഉം ലക്ഷ്യസ്ഥാനം = "SSH_Server" ഉം (അല്ലെങ്കിൽ ബാധകമായത്) ഐഡി 2 ഉപയോഗിച്ച്. ഈ രീതിയിൽ, വിശ്വസനീയമായ ഐപി അല്ലെങ്കിൽ ശ്രേണി മാത്രമേ NAT വഴി നിങ്ങളുടെ SSH-ലേക്ക് പോകൂ; ബാക്കിയുള്ളവ തടയപ്പെടും.

മൂല്യനിർണ്ണയ ക്രമം പ്രധാനമാണ്. താഴ്ന്ന ഐഡികൾക്ക് മുൻഗണന ലഭിക്കുംഅതിനാൽ, അനുവദിക്കൽ നിയമം ബ്ലോക്ക് നിയമത്തിന് മുമ്പായിരിക്കണം (താഴ്ന്ന ഐഡി). മാറ്റങ്ങൾ പ്രയോഗിച്ചതിന് ശേഷം, അനുവദനീയമായ IP വിലാസത്തിൽ നിന്ന് നിർവചിക്കപ്പെട്ട പോർട്ടിലെ റൂട്ടറിന്റെ WAN IP വിലാസത്തിലേക്ക് നിങ്ങൾക്ക് കണക്റ്റുചെയ്യാൻ കഴിയും, എന്നാൽ മറ്റ് ഉറവിടങ്ങളിൽ നിന്നുള്ള കണക്ഷനുകൾ തടയപ്പെടും.

മോഡൽ/ഫേംവെയർ കുറിപ്പുകൾ: ഹാർഡ്‌വെയറിനും പതിപ്പുകൾക്കും ഇടയിൽ ഇന്റർഫേസ് വ്യത്യാസപ്പെടാം. ചില പ്രവർത്തനങ്ങൾ ഉൾക്കൊള്ളാൻ TL-R600VPN-ന് ഹാർഡ്‌വെയർ v4 ആവശ്യമാണ്.വ്യത്യസ്ത സിസ്റ്റങ്ങളിൽ, മെനുകൾ മാറ്റിസ്ഥാപിച്ചേക്കാം. എന്നിരുന്നാലും, ഫ്ലോ ഒന്നുതന്നെയാണ്: സേവന തരം → IP ഗ്രൂപ്പുകൾ → അനുവദിക്കുക, തടയുക എന്നിവയുള്ള ACL. മറക്കരുത് സംരക്ഷിച്ച് പ്രയോഗിക്കുക നിയമങ്ങൾ പ്രാബല്യത്തിൽ വരുന്നതിന്.

ശുപാർശ ചെയ്യുന്ന സ്ഥിരീകരണം: അംഗീകൃത IP വിലാസത്തിൽ നിന്ന്, ശ്രമിക്കുക ssh usuario@IP_WAN ആക്‌സസ് പരിശോധിക്കുക. മറ്റൊരു ഐപി വിലാസത്തിൽ നിന്ന്, പോർട്ട് ആക്‌സസ് ചെയ്യാൻ കഴിയാത്തതായി മാറണം. (കണക്ഷൻ എത്താത്തതോ നിരസിക്കപ്പെട്ടതോ ആണ്, സൂചനകൾ നൽകാതിരിക്കാൻ ഒരു ബാനർ ഇല്ലാതെ തന്നെ).

ഒമാഡ കൺട്രോളറുള്ള ACL: ലിസ്റ്റുകൾ, അവസ്ഥകൾ, ഉദാഹരണ സാഹചര്യങ്ങൾ

ഒമാഡ കൺട്രോളർ ഉപയോഗിച്ച് നിങ്ങൾ ടിപി-ലിങ്ക് ഗേറ്റ്‌വേകൾ കൈകാര്യം ചെയ്യുകയാണെങ്കിൽ, ലോജിക്ക് സമാനമാണ്, പക്ഷേ കൂടുതൽ വിഷ്വൽ ഓപ്ഷനുകൾ ഉണ്ട്. ഗ്രൂപ്പുകൾ (IP അല്ലെങ്കിൽ പോർട്ടുകൾ) സൃഷ്ടിക്കുക, ഗേറ്റ്‌വേ ACL-കൾ നിർവചിക്കുക, നിയമങ്ങൾ ക്രമീകരിക്കുക. ഏറ്റവും കുറഞ്ഞത് അനുവദിക്കുകയും മറ്റെല്ലാം നിഷേധിക്കുകയും ചെയ്യുക.

ലിസ്റ്റുകളും ഗ്രൂപ്പുകളും: ഇൻ ക്രമീകരണങ്ങൾ → പ്രൊഫൈലുകൾ → ഗ്രൂപ്പുകൾ നിങ്ങൾക്ക് IP ഗ്രൂപ്പുകളും (സബ്‌നെറ്റുകൾ അല്ലെങ്കിൽ ഹോസ്റ്റുകൾ, ഉദാഹരണത്തിന് 192.168.0.32/27 അല്ലെങ്കിൽ 192.168.30.100/32) പോർട്ട് ഗ്രൂപ്പുകളും (ഉദാഹരണത്തിന്, HTTP 80, DNS 53) സൃഷ്ടിക്കാൻ കഴിയും. ഈ ഗ്രൂപ്പുകൾ സങ്കീർണ്ണമായ നിയമങ്ങൾ ലളിതമാക്കുന്നു. വസ്തുക്കൾ വീണ്ടും ഉപയോഗിക്കുന്നതിലൂടെ.

ഗേറ്റ്‌വേ ACL: ഓൺ കോൺഫിഗറേഷൻ → നെറ്റ്‌വർക്ക് സുരക്ഷ → ACL നിങ്ങൾക്ക് എന്ത് പരിരക്ഷിക്കണം എന്നതിനെ ആശ്രയിച്ച് LAN→WAN, LAN→LAN അല്ലെങ്കിൽ WAN→LAN ദിശയിൽ നിയമങ്ങൾ ചേർക്കുക. ഓരോ നിയമത്തിനുമുള്ള നയം അനുവദിക്കുക അല്ലെങ്കിൽ നിരസിക്കുക എന്നതായിരിക്കും. കൂടാതെ ക്രമം യഥാർത്ഥ ഫലം നിർണ്ണയിക്കുന്നു. അവ സജീവമാക്കുന്നതിന് "പ്രാപ്തമാക്കുക" പരിശോധിക്കുക. ചില പതിപ്പുകൾ നിയമങ്ങൾ തയ്യാറാക്കി പ്രവർത്തനരഹിതമാക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു.

ഉപയോഗപ്രദമായ കേസുകൾ (SSH-ലേക്ക് അനുയോജ്യം): നിർദ്ദിഷ്ട സേവനങ്ങൾ മാത്രം അനുവദിക്കുകയും ബാക്കിയുള്ളവ തടയുകയും ചെയ്യുക (ഉദാ. DNS, HTTP എന്നിവ അനുവദിക്കുക, തുടർന്ന് എല്ലാം നിരസിക്കുക). മാനേജ്മെന്റ് വൈറ്റ്‌ലിസ്റ്റുകൾക്കായി, വിശ്വസനീയമായ ഐപികളിൽ നിന്ന് "ഗേറ്റ്‌വേ അഡ്മിനിസ്ട്രേഷൻ പേജിലേക്ക്" അനുവദിക്കുക സൃഷ്ടിക്കുക. പിന്നെ മറ്റ് നെറ്റ്‌വർക്കുകളിൽ നിന്ന് ഒരു പൊതു നിരസിക്കൽ. നിങ്ങളുടെ ഫേംവെയറിന് ആ ഓപ്ഷൻ ഉണ്ടെങ്കിൽ. ദ്വിദിശനിങ്ങൾക്ക് വിപരീത നിയമം സ്വയമേവ സൃഷ്ടിക്കാൻ കഴിയും.

കണക്ഷൻ സ്റ്റാറ്റസ്: ACL-കൾ സ്റ്റേറ്റ്ഫുൾ ആകാം. സാധാരണ തരങ്ങൾ പുതിയത്, സ്ഥാപിതമായത്, ബന്ധപ്പെട്ടത്, അസാധുവായത് എന്നിവയാണ്."പുതിയത്" ആദ്യ പാക്കറ്റ് കൈകാര്യം ചെയ്യുന്നു (ഉദാ. TCP-യിലെ SYN), മുമ്പ് നേരിട്ട ദ്വിദിശ ട്രാഫിക് കൈകാര്യം ചെയ്യുന്നു "സ്ഥാപിതമായത്", "ബന്ധപ്പെട്ടത്" ആശ്രിത കണക്ഷനുകൾ കൈകാര്യം ചെയ്യുന്നു (FTP ഡാറ്റ ചാനലുകൾ പോലുള്ളവ), "അസാധുവായത്" അസാധാരണ ട്രാഫിക് കൈകാര്യം ചെയ്യുന്നു. അധിക ഗ്രാനുലാരിറ്റി ആവശ്യമില്ലെങ്കിൽ, സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങൾ നിലനിർത്തുന്നതാണ് പൊതുവെ നല്ലത്.

VLAN ഉം സെഗ്‌മെന്റേഷനും: ഒമാഡ, SMB റൂട്ടറുകൾ പിന്തുണയ്ക്കുന്നു VLAN-കൾക്കിടയിലുള്ള ഏകദിശ, ദ്വിദിശ സാഹചര്യങ്ങൾനിങ്ങൾക്ക് മാർക്കറ്റിംഗ്→R&D ബ്ലോക്ക് ചെയ്യാം, പക്ഷേ R&D→Marketing അനുവദിക്കാം, അല്ലെങ്കിൽ രണ്ട് ദിശകളും ബ്ലോക്ക് ചെയ്‌ത് ഒരു പ്രത്യേക അഡ്മിനിസ്ട്രേറ്ററെ അധികാരപ്പെടുത്താം. ACL-ലെ LAN→LAN ദിശ ആന്തരിക സബ്‌നെറ്റുകൾക്കിടയിലുള്ള ട്രാഫിക് നിയന്ത്രിക്കാൻ ഉപയോഗിക്കുന്നു.

അധിക രീതികളും ബലപ്പെടുത്തലുകളും: TCP റാപ്പറുകൾ, iptables, MikroTik, ക്ലാസിക് ഫയർവാൾ

റൂട്ടറിന്റെ ACL-കൾക്ക് പുറമേ, പ്രയോഗിക്കേണ്ട മറ്റ് ലെയറുകളും ഉണ്ട്, പ്രത്യേകിച്ചും SSH ലക്ഷ്യസ്ഥാനം റൂട്ടറിന് പിന്നിലുള്ള ഒരു ലിനക്സ് സെർവർ ആണെങ്കിൽ. hosts.allow, hosts.deny എന്നിവ ഉപയോഗിച്ച് IP വഴി ഫിൽട്ടർ ചെയ്യാൻ TCP റാപ്പറുകൾ അനുവദിക്കുന്നു. അനുയോജ്യമായ സേവനങ്ങളിൽ (പല പരമ്പരാഗത കോൺഫിഗറേഷനുകളിലെ OpenSSH ഉൾപ്പെടെ).

നിയന്ത്രണ ഫയലുകൾ: അവ നിലവിലില്ലെങ്കിൽ, അവ ഉപയോഗിച്ച് സൃഷ്ടിക്കുക sudo touch /etc/hosts.{allow,deny}. മികച്ച രീതി: hosts.deny-യിലെ എല്ലാം നിഷേധിക്കുക കൂടാതെ hosts.allow-ൽ ഇത് വ്യക്തമായി അനുവദിക്കുന്നു. ഉദാഹരണത്തിന്: in /etc/hosts.deny പൊൻ sshd: ALL ഒപ്പം അകത്തേക്കും /etc/hosts.allow ചേർക്കുക sshd: 203.0.113.10, 198.51.100.0/24അങ്ങനെ, ആ ഐപികൾക്ക് മാത്രമേ സെർവറിന്റെ SSH ഡെമണിൽ എത്താൻ കഴിയൂ.

ഇഷ്ടാനുസൃത iptables: നിങ്ങളുടെ റൂട്ടറോ സെർവറോ അനുവദിക്കുകയാണെങ്കിൽ, നിർദ്ദിഷ്ട ഉറവിടങ്ങളിൽ നിന്നുള്ള SSH മാത്രം സ്വീകരിക്കുന്ന നിയമങ്ങൾ ചേർക്കുക. ഒരു സാധാരണ നിയമം ഇതായിരിക്കും: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT തുടർന്ന് ഒരു ഡിഫോൾട്ട് DROP നയം അല്ലെങ്കിൽ ബാക്കിയുള്ളവ തടയുന്ന ഒരു നിയമം. എന്ന ടാബുള്ള റൂട്ടറുകളിൽ കസ്റ്റം നിയമങ്ങൾ നിങ്ങൾക്ക് ഈ വരികൾ കുത്തിവച്ച് "സേവ് & അപ്ലൈ" ഉപയോഗിച്ച് പ്രയോഗിക്കാം.

മൈക്രോടിക്കിലെ മികച്ച രീതികൾ (പൊതു ഗൈഡായി ബാധകമാണ്): സാധ്യമെങ്കിൽ ഡിഫോൾട്ട് പോർട്ടുകൾ മാറ്റുക, ടെൽനെറ്റ് നിർജ്ജീവമാക്കുക (SSH മാത്രം ഉപയോഗിക്കുക), ശക്തമായ പാസ്‌വേഡുകൾ ഉപയോഗിക്കുക അല്ലെങ്കിൽ, അതിലും മികച്ചത്, കീ പ്രാമാണീകരണംഫയർവാൾ ഉപയോഗിച്ച് IP വിലാസം വഴി ആക്‌സസ് പരിമിതപ്പെടുത്തുക, ഉപകരണം പിന്തുണയ്ക്കുന്നുവെങ്കിൽ 2FA പ്രവർത്തനക്ഷമമാക്കുക, ഫേംവെയർ/റൂട്ടർഒഎസ് കാലികമായി നിലനിർത്തുക. ആവശ്യമില്ലെങ്കിൽ WAN ആക്‌സസ് പ്രവർത്തനരഹിതമാക്കുക.പരാജയപ്പെട്ട ശ്രമങ്ങൾ ഇത് നിരീക്ഷിക്കുകയും ആവശ്യമെങ്കിൽ, ക്രൂരമായ ആക്രമണങ്ങൾ തടയുന്നതിന് കണക്ഷൻ നിരക്കിന്റെ പരിധികൾ പ്രയോഗിക്കുകയും ചെയ്യുന്നു.

ടിപി-ലിങ്ക് ക്ലാസിക് ഇന്റർഫേസ് (പഴയ ഫേംവെയർ): LAN IP വിലാസവും (ഡിഫോൾട്ട് 192.168.1.1) അഡ്മിൻ/അഡ്മിൻ ക്രെഡൻഷ്യലുകളും ഉപയോഗിച്ച് പാനലിലേക്ക് ലോഗിൻ ചെയ്യുക, തുടർന്ന് സുരക്ഷ → ഫയർവാൾIP ഫിൽറ്റർ പ്രാപ്തമാക്കുകയും വ്യക്തമാക്കാത്ത പാക്കറ്റുകൾ ആവശ്യമുള്ള നയം പിന്തുടരുന്നത് തിരഞ്ഞെടുക്കുക. തുടർന്ന്, ഇൻ ഐപി വിലാസ ഫിൽട്ടറിംഗ്, "പുതിയത് ചേർക്കുക" അമർത്തി നിർവചിക്കുക ഏതൊക്കെ ഐപികൾക്ക് സർവീസ് പോർട്ട് ഉപയോഗിക്കാൻ കഴിയും അല്ലെങ്കിൽ ഉപയോഗിക്കാൻ കഴിയില്ല WAN-ൽ (SSH, 22/tcp-ക്ക്). ഓരോ ഘട്ടവും സംരക്ഷിക്കുക. വിശ്വസനീയമായ IP-കൾ മാത്രം അനുവദിക്കുന്നതിന് ഒരു പൊതുവായ നിരസിക്കൽ പ്രയോഗിക്കാനും ഒഴിവാക്കലുകൾ സൃഷ്ടിക്കാനും ഇത് നിങ്ങളെ അനുവദിക്കുന്നു.

സ്റ്റാറ്റിക് റൂട്ടുകളുള്ള നിർദ്ദിഷ്ട IP-കൾ തടയുക

ചില സന്ദർഭങ്ങളിൽ, ചില സേവനങ്ങളിൽ (സ്ട്രീമിംഗ് പോലുള്ളവ) സ്ഥിരത മെച്ചപ്പെടുത്തുന്നതിന് നിർദ്ദിഷ്ട ഐപികളിലേക്കുള്ള ഔട്ട്‌ഗോയിംഗ് തടയുന്നത് ഉപയോഗപ്രദമാണ്. ഒന്നിലധികം ടിപി-ലിങ്ക് ഉപകരണങ്ങളിൽ ഇത് ചെയ്യാനുള്ള ഒരു മാർഗം സ്റ്റാറ്റിക് റൂട്ടിംഗ് ആണ്., ആ ലക്ഷ്യസ്ഥാനങ്ങളിൽ എത്തുന്നത് ഒഴിവാക്കുന്നതോ ഡിഫോൾട്ട് റൂട്ട് ഉപയോഗിക്കാത്ത വിധത്തിൽ അവയെ നയിക്കുന്നതോ ആയ /32 റൂട്ടുകൾ സൃഷ്ടിക്കുന്നു (ഫേംവെയറിനനുസരിച്ച് പിന്തുണ വ്യത്യാസപ്പെടുന്നു).

സമീപകാല മോഡലുകൾ: ടാബിലേക്ക് പോകുക വിപുലമായത് → നെറ്റ്‌വർക്ക് → വിപുലമായ റൂട്ടിംഗ് → സ്റ്റാറ്റിക് റൂട്ടിംഗ് "+ Add" അമർത്തുക. ബ്ലോക്ക് ചെയ്യേണ്ട IP വിലാസം ഉപയോഗിച്ച് "Network Destination" നൽകുക, "Subnet Mask" 255.255.255.255, "Default Gateway" LAN ഗേറ്റ്‌വേ (സാധാരണയായി 192.168.0.1), "Interface" LAN എന്നിവ നൽകുക. "ഈ എൻട്രി അനുവദിക്കുക" തിരഞ്ഞെടുത്ത് സംരക്ഷിക്കുകനിങ്ങൾ നിയന്ത്രിക്കാൻ ആഗ്രഹിക്കുന്ന സേവനത്തെ ആശ്രയിച്ച് ഓരോ ലക്ഷ്യ IP വിലാസത്തിനും ആവർത്തിക്കുക.

പഴയ ഫേംവെയറുകൾ: പോകുക വിപുലമായ റൂട്ടിംഗ് → സ്റ്റാറ്റിക് റൂട്ടിംഗ് ലിസ്റ്റ്, "പുതിയത് ചേർക്കുക" അമർത്തി അതേ ഫീൽഡുകൾ പൂരിപ്പിക്കുക. റൂട്ട് സ്റ്റാറ്റസ് സജീവമാക്കി സംരക്ഷിക്കുകഏതൊക്കെ ഐപികൾ കൈകാര്യം ചെയ്യണമെന്ന് കണ്ടെത്താൻ നിങ്ങളുടെ സേവനത്തിന്റെ പിന്തുണയുമായി ബന്ധപ്പെടുക, കാരണം ഇവ മാറിയേക്കാം.

പരിശോധന: ഒരു ടെർമിനൽ അല്ലെങ്കിൽ കമാൻഡ് പ്രോംപ്റ്റ് തുറന്ന് പരീക്ഷിക്കുക ping 8.8.8.8 (അല്ലെങ്കിൽ നിങ്ങൾ തടഞ്ഞ ലക്ഷ്യസ്ഥാന ഐപി). "ടൈംഔട്ട്" അല്ലെങ്കിൽ "ഡെസ്റ്റിനേഷൻ ഹോസ്റ്റ് ലഭ്യമല്ല" എന്ന് കണ്ടാൽബ്ലോക്കിംഗ് പ്രവർത്തിക്കുന്നു. ഇല്ലെങ്കിൽ, ഘട്ടങ്ങൾ അവലോകനം ചെയ്ത് എല്ലാ പട്ടികകളും പ്രാബല്യത്തിൽ വരുന്നതിനായി റൂട്ടർ പുനരാരംഭിക്കുക.

പരിശോധന, പരിശോധന, സംഭവ പരിഹാരം

നിങ്ങളുടെ SSH വൈറ്റ്‌ലിസ്റ്റ് പ്രവർത്തിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കാൻ, ഒരു അംഗീകൃത IP വിലാസം ഉപയോഗിക്കാൻ ശ്രമിക്കുക. ssh usuario@IP_WAN -p 22 (അല്ലെങ്കിൽ നിങ്ങൾ ഉപയോഗിക്കുന്ന പോർട്ട്) ആക്‌സസ് സ്ഥിരീകരിക്കുക. അനധികൃത ഐപി വിലാസത്തിൽ നിന്ന്, പോർട്ട് സേവനം നൽകരുത്.. ഉപയോഗിക്കുക nmap -p 22 IP_WAN ചൂടുള്ള അവസ്ഥ പരിശോധിക്കാൻ.

എന്തെങ്കിലും പ്രതികരിക്കേണ്ട രീതിയിൽ പ്രതികരിക്കുന്നില്ലെങ്കിൽ, ACL മുൻഗണന പരിശോധിക്കുക. നിയമങ്ങൾ ക്രമാനുഗതമായി പ്രോസസ്സ് ചെയ്യുന്നു, ഏറ്റവും കുറഞ്ഞ ഐഡി ഉള്ളവർ വിജയിക്കും.നിങ്ങളുടെ 'അനുവദിക്കുക' എന്നതിന് മുകളിലുള്ള 'നിരസിക്കുക' എന്നത് വൈറ്റ്‌ലിസ്റ്റ് അസാധുവാക്കുന്നു. കൂടാതെ, "സേവന തരം" ശരിയായ പോർട്ടിലേക്ക് പോയിന്റ് ചെയ്യുന്നുണ്ടെന്നും നിങ്ങളുടെ "IP ഗ്രൂപ്പുകൾ" ഉചിതമായ ശ്രേണികൾ ഉൾക്കൊള്ളുന്നുണ്ടെന്നും പരിശോധിക്കുക.

സംശയാസ്പദമായ പെരുമാറ്റം ഉണ്ടായാൽ (കുറച്ച് സമയത്തിനുശേഷം കണക്റ്റിവിറ്റി നഷ്ടപ്പെടുന്നത്, സ്വയം മാറുന്ന നിയമങ്ങൾ, ലാൻ ട്രാഫിക് കുറയുന്നത്), പരിഗണിക്കുക ഫേംവെയർ അപ്‌ഡേറ്റുചെയ്യുകനിങ്ങൾ ഉപയോഗിക്കാത്ത സേവനങ്ങൾ പ്രവർത്തനരഹിതമാക്കുക (റിമോട്ട് വെബ്/ടെൽനെറ്റ്/എസ്എസ്എച്ച് അഡ്മിനിസ്ട്രേഷൻ), ക്രെഡൻഷ്യലുകൾ മാറ്റുക, ബാധകമെങ്കിൽ MAC ക്ലോണിംഗ് പരിശോധിക്കുക, ഒടുവിൽ, ഫാക്ടറി ക്രമീകരണങ്ങളിലേക്ക് പുനഃസ്ഥാപിക്കുക, കുറഞ്ഞ ക്രമീകരണങ്ങളും കർശനമായ വൈറ്റ്‌ലിസ്റ്റും ഉപയോഗിച്ച് വീണ്ടും ക്രമീകരിക്കുക..

അനുയോജ്യത, മോഡലുകൾ, ലഭ്യത എന്നിവയെക്കുറിച്ചുള്ള കുറിപ്പുകൾ

സവിശേഷതകളുടെ ലഭ്യത (സ്റ്റേറ്റ്ഫുൾ എസിഎല്ലുകളും പ്രൊഫൈലുകളും വൈറ്റ്‌ലിസ്റ്റുകളും പോർട്ടുകളിലെ പിവിഐഡി എഡിറ്റിംഗും മുതലായവ) ഇത് ഹാർഡ്‌വെയർ മോഡലിനെയും പതിപ്പിനെയും ആശ്രയിച്ചിരിക്കും.TL-R600VPN പോലുള്ള ചില ഉപകരണങ്ങളിൽ, ചില കഴിവുകൾ പതിപ്പ് 4 മുതൽ മാത്രമേ ലഭ്യമാകൂ. ഉപയോക്തൃ ഇന്റർഫേസുകളും മാറുന്നു, പക്ഷേ അടിസ്ഥാന പ്രക്രിയ ഒന്നുതന്നെയാണ്: സ്ഥിരസ്ഥിതിയായി തടയൽ, സേവനങ്ങളും ഗ്രൂപ്പുകളും നിർവചിക്കുക, നിർദ്ദിഷ്ട ഐപികളിൽ നിന്ന് അനുവദിക്കുകയും ബാക്കിയുള്ളവ തടയുകയും ചെയ്യുക.

ടിപി-ലിങ്ക് ആവാസവ്യവസ്ഥയിൽ, എന്റർപ്രൈസ് നെറ്റ്‌വർക്കുകളിൽ ഉൾപ്പെട്ടിരിക്കുന്ന നിരവധി ഉപകരണങ്ങൾ ഉണ്ട്. ഡോക്യുമെന്റേഷനിൽ ഉദ്ധരിച്ചിരിക്കുന്ന മോഡലുകളിൽ ഇവ ഉൾപ്പെടുന്നു: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-2500G-10 T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T5412SQ2008, T52 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T3700G-10MPS, ഫെസ്റ്റ FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQമറ്റുള്ളവയിൽ. അത് ഓർമ്മിക്കുക ഓഫർ പ്രദേശത്തിനനുസരിച്ച് വ്യത്യാസപ്പെടുന്നു. ചിലത് നിങ്ങളുടെ പ്രദേശത്ത് ലഭ്യമായേക്കില്ല.

കാലികമായി തുടരാൻ, നിങ്ങളുടെ ഉൽപ്പന്നത്തിന്റെ പിന്തുണാ പേജ് സന്ദർശിക്കുക, ശരിയായ ഹാർഡ്‌വെയർ പതിപ്പ് തിരഞ്ഞെടുക്കുക, പരിശോധിക്കുക ഫേംവെയർ കുറിപ്പുകളും സാങ്കേതിക സവിശേഷതകളും ഏറ്റവും പുതിയ മെച്ചപ്പെടുത്തലുകൾക്കൊപ്പം. ചിലപ്പോൾ അപ്‌ഡേറ്റുകൾ ഫയർവാൾ, ACL അല്ലെങ്കിൽ റിമോട്ട് മാനേജ്‌മെന്റ് സവിശേഷതകൾ വികസിപ്പിക്കുകയോ പരിഷ്കരിക്കുകയോ ചെയ്യും.

അടയ്ക്കുക എസ്എസ്എച്ച് നിർദ്ദിഷ്ട ഐപികൾ ഒഴികെ മറ്റെല്ലാത്തിനും, ACL-കൾ ശരിയായി സംഘടിപ്പിക്കുകയും ഓരോന്നിനെയും നിയന്ത്രിക്കുന്ന സംവിധാനം എന്താണെന്ന് മനസ്സിലാക്കുകയും ചെയ്യുന്നത് നിങ്ങളെ അസുഖകരമായ ആശ്ചര്യങ്ങളിൽ നിന്ന് രക്ഷിക്കും. സ്ഥിരസ്ഥിതി നിരസിക്കൽ നയം, കൃത്യമായ വൈറ്റ്‌ലിസ്റ്റുകൾ, പതിവ് പരിശോധന എന്നിവയോടൊപ്പംനിങ്ങളുടെ ടിപി-ലിങ്ക് റൂട്ടറും അതിന് പിന്നിലുള്ള സേവനങ്ങളും നിങ്ങൾക്ക് ആവശ്യമുള്ളപ്പോൾ മാനേജ്മെന്റ് ഉപേക്ഷിക്കാതെ തന്നെ വളരെ മികച്ച രീതിയിൽ സംരക്ഷിക്കപ്പെടും.

അനുബന്ധ ലേഖനം:

എന്റർപ്രൈസ് റൂട്ടറുകളിൽ ടിപി-ലിങ്ക് ഗുരുതരമായ പരാജയങ്ങൾ നേരിടുന്നു, കൂടാതെ വർദ്ധിച്ചുവരുന്ന നിയന്ത്രണ സമ്മർദ്ദവും.

ക്രിസ്ത്യൻ ഗാർസിയ

ചെറുപ്പം മുതലേ ടെക്നോളജിയിൽ കമ്പമുണ്ടായിരുന്നു. ഈ മേഖലയിൽ കാലികമായിരിക്കാനും എല്ലാറ്റിനുമുപരിയായി ആശയവിനിമയം നടത്താനും ഞാൻ ഇഷ്ടപ്പെടുന്നു. അതുകൊണ്ടാണ് വർഷങ്ങളായി സാങ്കേതികവിദ്യയിലും വീഡിയോ ഗെയിം വെബ്‌സൈറ്റുകളിലും ആശയവിനിമയം നടത്താൻ ഞാൻ സമർപ്പിച്ചിരിക്കുന്നത്. Android, Windows, MacOS, iOS, Nintendo അല്ലെങ്കിൽ മനസ്സിൽ വരുന്ന മറ്റേതെങ്കിലും അനുബന്ധ വിഷയങ്ങളെ കുറിച്ച് എഴുതുന്നത് നിങ്ങൾക്ക് കണ്ടെത്താൻ കഴിയും.