- Utamakan dasar penafian lalai dan gunakan senarai putih untuk SSH.
- Menggabungkan NAT + ACL: membuka port dan had mengikut IP sumber.
- Sahkan dengan nmap/ping dan hormati keutamaan peraturan (ID).
- Kuatkan dengan kemas kini, kunci SSH dan perkhidmatan minimum.
¿Bagaimana untuk menyekat akses SSH kepada penghala TP-Link kepada IP yang dipercayai? Mengawal orang yang boleh mengakses rangkaian anda melalui SSH bukanlah sesuatu yang sesuka hati, ia adalah lapisan keselamatan yang penting. Benarkan akses hanya daripada alamat IP yang dipercayai Ia mengurangkan permukaan serangan, memperlahankan imbasan automatik, dan menghalang percubaan pencerobohan berterusan daripada Internet.
Dalam panduan praktikal dan komprehensif ini, anda akan melihat cara melakukannya dalam senario berbeza dengan peralatan TP-Link (SMB dan Omada), perkara yang perlu dipertimbangkan dengan peraturan dan senarai putih ACL, dan cara mengesahkan bahawa semuanya telah ditutup dengan betul. Kami menyepadukan kaedah tambahan seperti TCP Wrappers, iptables dan amalan terbaik supaya anda boleh melindungi persekitaran anda tanpa meninggalkan sebarang hujung yang longgar.
Mengapa mengehadkan akses SSH pada penghala TP-Link
Mendedahkan SSH kepada internet membuka pintu kepada sapuan besar-besaran oleh bot yang sudah ingin tahu dengan niat jahat. Ia bukan sesuatu yang luar biasa untuk mengesan port 22 yang boleh diakses pada WAN selepas imbasan, seperti yang telah diperhatikan dalam [contoh SSH]. kegagalan kritikal dalam penghala TP-Link. Perintah nmap mudah boleh digunakan untuk menyemak sama ada alamat IP awam anda mempunyai port 22 terbuka.: melaksanakan sesuatu seperti ini pada mesin luaran nmap -vvv -p 22 TU_IP_PUBLICA dan semak jika "open ssh" muncul.
Walaupun anda menggunakan kunci awam, membiarkan port 22 terbuka menjemput penerokaan lanjut, menguji port lain dan menyerang perkhidmatan pengurusan. Penyelesaiannya adalah jelas: tolak secara lalai dan dayakan hanya dari IP atau julat yang dibenarkan.Sebaiknya tetap dan dikawal oleh anda. Jika anda tidak memerlukan pengurusan jauh, lumpuhkan sepenuhnya pada WAN.
Selain mendedahkan port, terdapat situasi di mana anda mungkin mengesyaki perubahan peraturan atau tingkah laku anomali (contohnya, modem kabel yang mula "menghentikan" trafik keluar selepas beberapa ketika). Jika anda perasan bahawa ping, traceroute atau penyemakan imbas tidak melepasi modem, semak tetapan, perisian tegar dan pertimbangkan untuk memulihkan tetapan kilang. dan tutup semua yang anda tidak gunakan.
Model mental: sekat secara lalai dan buat senarai putih
Falsafah kemenangan adalah mudah: lalai menafikan dasar dan pengecualian eksplisitPada kebanyakan penghala TP-Link dengan antara muka lanjutan, anda boleh menetapkan dasar kemasukan jauh jenis Drop dalam tembok api, dan kemudian membenarkan alamat tertentu pada senarai putih untuk perkhidmatan pengurusan.
Pada sistem yang menyertakan pilihan "Dasar Input Jauh" dan "Peraturan Senarai Putih" (pada halaman Rangkaian - Firewall), Jatuhkan jenama dalam dasar kemasukan jauh Dan tambahkan pada senarai putih IP awam dalam format CIDR XXXX/XX yang sepatutnya boleh mencapai konfigurasi atau perkhidmatan seperti SSH/Telnet/HTTP(S). Entri ini boleh memasukkan penerangan ringkas untuk mengelakkan kekeliruan kemudian.
Adalah penting untuk memahami perbezaan antara mekanisme. Pemajuan port (NAT/DNAT) mengubah hala port ke mesin LANSemasa "Peraturan penapisan" mengawal trafik WAN-ke-LAN atau antara rangkaian, "Peraturan Senarai Putih" firewall mengawal akses kepada sistem pengurusan penghala. Peraturan penapisan tidak menyekat akses kepada peranti itu sendiri; untuk itu, anda menggunakan senarai putih atau peraturan khusus berkenaan trafik masuk ke penghala.
Untuk mengakses perkhidmatan dalaman, pemetaan port dibuat dalam NAT dan kemudian adalah terhad orang yang boleh mencapai pemetaan itu dari luar. Resipinya ialah: buka port yang diperlukan dan kemudian hadkannya dengan kawalan akses. yang membenarkan hanya sumber yang dibenarkan untuk melalui dan menyekat yang lain.
SSH daripada IP dipercayai pada TP-Link SMB (ER6120/ER8411 dan seumpamanya)
Dalam penghala SMB seperti TL-ER6120 atau ER8411, corak biasa untuk mengiklankan perkhidmatan LAN (cth., SSH pada pelayan dalaman) dan mengehadkannya melalui IP sumber ialah dua fasa. Pertama, port dibuka dengan Pelayan Maya (NAT), dan kemudian ia ditapis dengan Kawalan Akses. berdasarkan kumpulan IP dan jenis perkhidmatan.
Fasa 1 – Pelayan Maya: pergi ke Lanjutan → NAT → Pelayan Maya dan mencipta entri untuk antara muka WAN yang sepadan. Konfigurasikan port luaran 22 dan halakannya ke alamat IP dalaman pelayan (contohnya, 192.168.0.2:22)Simpan peraturan untuk menambahkannya pada senarai. Jika kes anda menggunakan port yang berbeza (cth., anda telah menukar SSH kepada 2222), laraskan nilai dengan sewajarnya.
Fasa 2 – Jenis perkhidmatan: masukkan Keutamaan → Jenis Perkhidmatan, buat perkhidmatan baharu yang dipanggil, contohnya, SSH, pilih TCP atau TCP/UDP dan tentukan port destinasi 22 (julat port sumber boleh 0–65535). Lapisan ini akan membolehkan anda merujuk port dengan bersih dalam ACL.
Fasa 3 – Kumpulan IP: pergi ke Keutamaan → Kumpulan IP → Alamat IP dan tambahkan entri untuk kedua-dua sumber yang dibenarkan (cth. IP awam anda atau julat, bernama "Access_Client") dan sumber destinasi (cth. "SSH_Server" dengan IP dalaman pelayan). Kemudian kaitkan setiap alamat dengan Kumpulan IP yang sepadan dalam menu yang sama.
Fasa 4 – Kawalan akses: dalam Firewall → Kawalan Akses Buat dua peraturan. 1) Peraturan Benarkan: Benarkan dasar, perkhidmatan "SSH" yang baru ditakrifkan, Sumber = kumpulan IP "Access_Client" dan destinasi = "SSH_Server". Berikannya ID 1. 2) Peraturan Penyekatan: Dasar sekat dengan sumber = IPGROUP_ANY dan destinasi = "SSH_Server" (atau yang berkenaan) dengan ID 2. Dengan cara ini, hanya IP atau julat yang dipercayai akan melalui NAT ke SSH anda; selebihnya akan disekat.
Urutan penilaian adalah penting. ID yang lebih rendah diutamakanOleh itu, peraturan Benarkan mesti mendahului (ID bawah) peraturan Sekat. Selepas menggunakan perubahan, anda akan dapat menyambung ke alamat IP WAN penghala pada port yang ditentukan daripada alamat IP yang dibenarkan, tetapi sambungan daripada sumber lain akan disekat.
Nota model/perisian tegar: Antara muka mungkin berbeza antara perkakasan dan versi. TL-R600VPN memerlukan perkakasan v4 untuk menampung fungsi tertentuDan pada sistem yang berbeza, menu mungkin dipindahkan. Walaupun begitu, alirannya adalah sama: jenis perkhidmatan → kumpulan IP → ACL dengan Benarkan dan Sekat. jangan lupa simpan dan gunakan agar peraturan itu berkuat kuasa.
Pengesahan yang disyorkan: Daripada alamat IP yang dibenarkan, cuba ssh usuario@IP_WAN dan mengesahkan akses. Dari alamat IP yang lain, port seharusnya menjadi tidak boleh diakses. (sambungan yang tidak sampai atau ditolak, sebaik-baiknya tanpa sepanduk untuk mengelak daripada memberi petunjuk).
ACL dengan Pengawal Omada: Senarai, Negeri dan Senario Contoh
Jika anda menguruskan get laluan TP-Link dengan Pengawal Omada, logiknya adalah serupa tetapi dengan lebih banyak pilihan visual. Buat kumpulan (IP atau port), tentukan ACL get laluan dan atur peraturan untuk membenarkan minimum dan menafikan segala-galanya.
Senarai dan kumpulan: dalam Tetapan → Profil → Kumpulan Anda boleh membuat kumpulan IP (subnet atau hos, seperti 192.168.0.32/27 atau 192.168.30.100/32) dan juga kumpulan port (contohnya, HTTP 80 dan DNS 53). Kumpulan ini memudahkan peraturan yang kompleks dengan menggunakan semula objek.
Gateway ACL: hidup Konfigurasi → Keselamatan Rangkaian → ACL Tambahkan peraturan dengan arah LAN→WAN, LAN→LAN atau WAN→LAN bergantung pada perkara yang anda ingin lindungi. Dasar untuk setiap peraturan boleh Benarkan atau Tolak. dan susunan menentukan keputusan sebenar. Tandai "Dayakan" untuk mengaktifkannya. Sesetengah versi membenarkan anda membiarkan peraturan disediakan dan dilumpuhkan.
Kes berguna (boleh disesuaikan dengan SSH): benarkan perkhidmatan tertentu sahaja dan sekat yang lain (cth., Benarkan DNS dan HTTP dan kemudian Tolak Semua). Untuk senarai putih pengurusan, buat Benarkan daripada IP Dipercayai ke "Halaman Pentadbiran Gerbang" dan kemudian penafian umum daripada rangkaian lain. Jika perisian tegar anda mempunyai pilihan itu. Dua halaAnda boleh menjana peraturan songsang secara automatik.
Status sambungan: ACL boleh bersifat stateful. Jenis biasa ialah Baharu, Ditubuhkan, Berkaitan dan Tidak Sah"Baharu" mengendalikan paket pertama (cth., SYN dalam TCP), "Ditubuhkan" mengendalikan trafik dwiarah yang ditemui sebelum ini, "Berkaitan" mengendalikan sambungan bergantung (seperti saluran data FTP) dan "Tidak Sah" mengendalikan trafik anomali. Secara umumnya, lebih baik untuk mengekalkan tetapan lalai melainkan anda memerlukan butiran tambahan.
VLAN dan pembahagian: sokongan penghala Omada dan SMB senario satu arah dan dua hala antara VLANAnda boleh menyekat Pemasaran→R&D tetapi membenarkan R&D→Pemasaran, atau menyekat kedua-dua arah dan masih membenarkan pentadbir tertentu. Arah LAN→LAN dalam ACL digunakan untuk mengawal trafik antara subnet dalaman.
Kaedah dan peneguhan tambahan: Pembungkus TCP, iptables, MikroTik dan tembok api klasik
Sebagai tambahan kepada ACL penghala, terdapat lapisan lain yang harus digunakan, terutamanya jika destinasi SSH adalah pelayan Linux di belakang penghala. TCP Wrappers membenarkan penapisan mengikut IP dengan hosts.allow dan hosts.deny pada perkhidmatan yang serasi (termasuk OpenSSH dalam banyak konfigurasi tradisional).
Kawal fail: jika ia tidak wujud, buat dengannya sudo touch /etc/hosts.{allow,deny}. Amalan terbaik: menafikan segala-galanya dalam hos. menafikan dan secara eksplisit membenarkannya dalam hos.membenarkan. Contohnya: dalam /etc/hosts.deny pon sshd: ALL dan dalam /etc/hosts.allow tambah sshd: 203.0.113.10, 198.51.100.0/24Oleh itu, hanya IP tersebut akan dapat mencapai daemon SSH pelayan.
iptable tersuai: Jika penghala atau pelayan anda membenarkannya, tambahkan peraturan yang hanya menerima SSH daripada sumber tertentu. Peraturan tipikal adalah: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT diikuti dengan dasar DROP lalai atau peraturan yang menyekat yang lain. Pada penghala dengan tab Peraturan tersuai Anda boleh menyuntik garisan ini dan menerapkannya dengan "Simpan & Guna".
Amalan terbaik dalam MikroTik (terpakai sebagai panduan umum): tukar port lalai jika boleh, nyahaktifkan Telnet (gunakan SSH sahaja), gunakan kata laluan yang kuat atau, lebih baik lagi, pengesahan kunciHadkan akses melalui alamat IP menggunakan tembok api, dayakan 2FA jika peranti menyokongnya dan pastikan perisian tegar/RouterOS dikemas kini. Lumpuhkan akses WAN jika anda tidak memerlukannyaIa memantau percubaan yang gagal dan, jika perlu, menggunakan had kadar sambungan untuk mengekang serangan kekerasan.
Antara Muka Klasik TP-Link (Perisian Tegar Lama): Log masuk ke panel menggunakan alamat IP LAN (lalai 192.168.1.1) dan bukti kelayakan pentadbir/pentadbir, kemudian pergi ke Keselamatan → FirewallDayakan penapis IP dan pilih agar paket yang tidak ditentukan mengikut dasar yang diingini. Kemudian, dalam Penapisan Alamat IP, tekan "Tambah baharu" dan tentukan IP yang boleh atau tidak boleh menggunakan port perkhidmatan pada WAN (untuk SSH, 22/tcp). Simpan setiap langkah. Ini membolehkan anda menggunakan penafian umum dan membuat pengecualian untuk membenarkan hanya IP yang dipercayai.
Sekat IP tertentu dengan laluan statik
Dalam sesetengah kes, adalah berguna untuk menyekat keluar ke IP tertentu untuk meningkatkan kestabilan dengan perkhidmatan tertentu (seperti penstriman). Satu cara untuk melakukan ini pada berbilang peranti TP-Link ialah melalui penghalaan statik., mencipta laluan /32 yang mengelak daripada mencapai destinasi tersebut atau mengarahkannya dengan cara yang tidak digunakan oleh laluan lalai (sokongan berbeza mengikut perisian tegar).
Model terkini: pergi ke tab Lanjutan → Rangkaian → Penghalaan Lanjutan → Penghalaan Statik dan tekan "+ Tambah". Masukkan "Destinasi Rangkaian" dengan alamat IP untuk disekat, "Subnet Mask" 255.255.255.255, "Gerbang Lalai" get laluan LAN (biasanya 192.168.0.1) dan LAN "Antara Muka". Pilih "Benarkan entri ini" dan simpanUlang untuk setiap alamat IP sasaran bergantung pada perkhidmatan yang anda mahu kawal.
Firmware lama: pergi ke Penghalaan lanjutan → Senarai penghalaan statik, tekan "Tambah baharu" dan isikan medan yang sama. Aktifkan status laluan dan simpanRujuk sokongan perkhidmatan anda untuk mengetahui IP yang hendak dirawat, kerana ini mungkin berubah.
Pengesahan: Buka terminal atau gesaan arahan dan uji dengan ping 8.8.8.8 (atau alamat IP destinasi yang telah anda sekat). Jika anda melihat "Tamat masa" atau "Hos destinasi tidak dapat dicapai"Penyekatan berfungsi. Jika tidak, semak langkah dan mulakan semula penghala untuk semua jadual berkuat kuasa.
Pengesahan, ujian dan penyelesaian insiden
Untuk mengesahkan bahawa senarai putih SSH anda berfungsi, cuba gunakan alamat IP yang dibenarkan. ssh usuario@IP_WAN -p 22 (atau port yang anda gunakan) dan sahkan akses. Daripada alamat IP yang tidak dibenarkan, port tidak sepatutnya menawarkan perkhidmatan.. USA nmap -p 22 IP_WAN untuk memeriksa keadaan panas.
Jika sesuatu tidak bertindak balas sebagaimana mestinya, semak keutamaan ACL. Peraturan diproses secara berurutan, dan mereka yang mempunyai ID terendah menang.Penafian di atas Benarkan anda membatalkan senarai putih. Juga, semak bahawa "Jenis Perkhidmatan" menghala ke port yang betul dan bahawa "Kumpulan IP" anda mengandungi julat yang sesuai.
Sekiranya berlaku tingkah laku yang mencurigakan (kehilangan sambungan selepas beberapa ketika, peraturan yang berubah sendiri, trafik LAN yang menurun), pertimbangkan kemas kini firmwareLumpuhkan perkhidmatan yang anda tidak gunakan (pentadbiran web/Telnet/SSH jauh), tukar kelayakan, semak pengklonan MAC jika berkenaan, dan akhirnya, Pulihkan kepada tetapan kilang dan konfigurasi semula dengan tetapan minimum dan senarai putih yang ketat.
Keserasian, model dan nota ketersediaan
Ketersediaan ciri (ACL, profil, senarai putih, pengeditan PVID pada port, dsb.) Ia mungkin bergantung pada model dan versi perkakasanDalam sesetengah peranti, seperti TL-R600VPN, keupayaan tertentu hanya tersedia dari versi 4 dan seterusnya. Antara muka pengguna juga berubah, tetapi proses asasnya adalah sama: menyekat secara lalai, menentukan perkhidmatan dan kumpulan, benarkan daripada IP tertentu dan sekat yang lain.
Dalam ekosistem TP-Link, terdapat banyak peranti yang terlibat dalam rangkaian perusahaan. Model yang disebut dalam dokumentasi termasuk T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, 2500G-10TS, 2500G-10TS T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3216, T3700G-TL5700, T3700G-TL T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-2420G, TSL26008G T3700G-28TQ, T1500G-8T, T1700X-28TQantara lain. Perlu diingat bahawa Tawaran berbeza mengikut wilayah. dan beberapa mungkin tidak tersedia di kawasan anda.
Untuk mengikuti perkembangan terkini, lawati halaman sokongan produk anda, pilih versi perkakasan yang betul dan semak nota perisian tegar dan spesifikasi teknikal dengan penambahbaikan terkini. Kadangkala kemas kini mengembangkan atau memperhalusi firewall, ACL atau ciri pengurusan jauh.
Tutup SSH Untuk semua kecuali IP tertentu, mengatur ACL dengan betul dan memahami mekanisme yang mengawal setiap perkara menyelamatkan anda daripada kejutan yang tidak menyenangkan. Dengan dasar penafian lalai, senarai putih yang tepat dan pengesahan biasaPenghala TP-Link anda dan perkhidmatan di belakangnya akan dilindungi dengan lebih baik tanpa meninggalkan pengurusan apabila anda memerlukannya.
Minat teknologi sejak kecil lagi. Saya suka mengikuti perkembangan terkini dalam sektor ini dan, terutama sekali, menyampaikannya. Itulah sebabnya saya telah berdedikasi untuk komunikasi di tapak web teknologi dan permainan video selama bertahun-tahun. Anda boleh menemui saya menulis tentang Android, Windows, MacOS, iOS, Nintendo atau sebarang topik berkaitan lain yang terlintas di fikiran.