- မူရင်းငြင်းဆိုမှုမူဝါဒကို ဦးစားပေးပြီး SSH အတွက် အဖြူရောင်စာရင်းများကို အသုံးပြုပါ။
- NAT + ACL ပေါင်းစပ်သည်- ဆိပ်ကမ်းကိုဖွင့်ပြီး အရင်းအမြစ် IP ဖြင့် ကန့်သတ်ထားသည်။
- nmap/ping ဖြင့် အတည်ပြုပြီး စည်းမျဉ်းဦးစားပေး (ID) ကို လေးစားပါ။
- အပ်ဒိတ်များ၊ SSH သော့များနှင့် အနိမ့်ဆုံးဝန်ဆောင်မှုများဖြင့် အားကောင်းအောင်လုပ်ပါ။
¿ယုံကြည်ရသော IP များအတွက် TP-Link router သို့ SSH ဝင်ရောက်ခွင့်ကို မည်သို့ကန့်သတ်ရမည်နည်း။ SSH မှတစ်ဆင့် သင့်ကွန်ရက်ကို ဝင်ရောက်နိုင်သူအား ထိန်းချုပ်ခြင်းသည် စိတ်အားထက်သန်မှုမဟုတ်ပါ၊ ၎င်းသည် မရှိမဖြစ်လိုအပ်သော လုံခြုံရေးအလွှာတစ်ခုဖြစ်သည်။ ယုံကြည်စိတ်ချရသော IP လိပ်စာများမှသာ ဝင်ရောက်ခွင့်ပြုပါ။ ၎င်းသည် တိုက်ခိုက်မှုမျက်နှာပြင်ကို လျှော့ချပေးကာ အလိုအလျောက်စကင်န်များကို နှေးကွေးစေပြီး အင်တာနက်မှ အဆက်မပြတ်ဝင်ရောက်ရန် ကြိုးပမ်းမှုများကို တားဆီးပေးသည်။
ဤလက်တွေ့ကျပြီး ပြည့်စုံသောလမ်းညွှန်တွင် TP-Link စက်ကိရိယာများ (SMB နှင့် Omada)၊ ACL စည်းမျဉ်းများနှင့် ခွင့်ပြုထားသောစာရင်းများနှင့် ထည့်သွင်းစဉ်းစားရမည့်အရာနှင့် အရာအားလုံးကို ကောင်းစွာပိတ်ကြောင်းအတည်ပြုနည်းဖြင့် မတူညီသောအခြေအနေများတွင် ၎င်းကို မည်သို့လုပ်ဆောင်ရမည်ကို သင်တွေ့ရပါမည်။ ကျွန်ုပ်တို့သည် TCP Wrappers၊ iptables နှင့် အကောင်းဆုံးအလေ့အကျင့်များကဲ့သို့သော နောက်ထပ်နည်းလမ်းများကို ပေါင်းစပ်ထားသည်။ ဒါကြောင့် သင့်ပတ်ဝန်းကျင်ကို အစွန်းအထင်းမကျန်စေဘဲ လုံခြုံစေနိုင်ပါတယ်။
TP-Link router များပေါ်တွင် SSH အသုံးပြုခွင့်ကို အဘယ်ကြောင့်ကန့်သတ်ထားသနည်း။
SSH ကို အင်တာနက်သို့ ထုတ်ဖော်ခြင်းသည် စူးစမ်းလိုစိတ်ရှိသော ဘော့တ်များဖြင့် ကြီးမားသော အမဲစက်များဆီသို့ တံခါးဖွင့်ပေးသည်။ [SSH ၏ဥပမာများ] တွင်တွေ့ရှိရသည့်အတိုင်းစကင်န်ဖတ်ပြီးနောက် WAN တွင်ဝင်ရောက်နိုင်သော port 22 ကိုရှာဖွေတွေ့ရှိခြင်းသည်အဆန်းမဟုတ်ပါ။ TP-Link router များတွင် အရေးကြီးသော ချို့ယွင်းချက်များ. သင့်အများပြည်သူပိုင် IP လိပ်စာတွင် port 22 ဖွင့်ထားခြင်းရှိမရှိ စစ်ဆေးရန် ရိုးရှင်းသော nmap အမိန့်ကို အသုံးပြုနိုင်သည်။: ပြင်ပစက်တွင် ဤကဲ့သို့သော အရာတစ်ခုကို လုပ်ဆောင်သည်။ nmap -vvv -p 22 TU_IP_PUBLICA ပြီးလျှင် "open ssh" ပေါ်လာသလား စစ်ဆေးပါ။
အများသူငှာသော့များကိုအသုံးပြုလျှင်ပင်၊ port 22 ကိုဖွင့်ထားခြင်းဖြင့် နောက်ထပ်ရှာဖွေခြင်း၊ အခြား port များကို စမ်းသပ်ခြင်းနှင့် တိုက်ခိုက်ခြင်း စီမံခန့်ခွဲမှုဝန်ဆောင်မှုများကို ဖိတ်ခေါ်ပါသည်။ ဖြေရှင်းချက်မှာ ရှင်းလင်းပါသည်- မူရင်းအတိုင်း ငြင်းပယ်ပြီး ခွင့်ပြုထားသော IP သို့မဟုတ် အပိုင်းအခြားများမှသာ ဖွင့်ပါ။ဖြစ်နိုင်ရင် သင်က ပြုပြင်ပြီး ထိန်းချုပ်ပါတယ်။ အဝေးထိန်းစီမံခန့်ခွဲမှု မလိုအပ်ပါက၊ WAN တွင် ၎င်းကို လုံးဝပိတ်လိုက်ပါ။
ဆိပ်ကမ်းများကို ဖော်ထုတ်ခြင်းအပြင်၊ စည်းမျဉ်းအပြောင်းအလဲများ သို့မဟုတ် မမှန်မကန်အပြုအမူများကို သင်သံသယဖြစ်နိုင်သည့် အခြေအနေများ ရှိသည် (ဥပမာ၊ ခဏအကြာတွင် အထွက်အသွားအလာကို "ချရန်" စတင်သည့် cable modem)။ ping၊ traceroute သို့မဟုတ် browsing သည် modem ကို ကျော်မသွားကြောင်း သတိပြုမိပါက ဆက်တင်များ၊ firmware ကိုစစ်ဆေးပြီး စက်ရုံဆက်တင်များကို ပြန်လည်ရယူရန် စဉ်းစားပါ။ ပြီးတော့ သင်အသုံးမပြုတဲ့ အရာအားလုံးကို ပိတ်လိုက်ပါ။
စိတ်ပိုင်းဆိုင်ရာ မော်ဒယ်- ပုံမှန်အားဖြင့် ပိတ်ဆို့ပြီး အဖြူရောင်စာရင်း ဖန်တီးပါ။
အနိုင်ရသောအတွေးအခေါ်သည် ရိုးရှင်းပါသည်။ မူရင်းမူဝါဒကို ငြင်းဆိုခြင်းနှင့် ရှင်းလင်းပြတ်သားသောခြွင်းချက်အဆင့်မြင့် အင်တာဖေ့စ်ပါရှိသော TP-Link router အများအပြားတွင်၊ သင်သည် Firewall တွင် Drop-type remote ingress မူဝါဒကို သင်သတ်မှတ်နိုင်ပြီး စီမံခန့်ခွဲမှုဝန်ဆောင်မှုများအတွက် အဖြူရောင်စာရင်းတွင် သီးခြားလိပ်စာများကို ခွင့်ပြုနိုင်သည်။
"Remote Input Policy" နှင့် "Whitelist rules" ရွေးစရာများ (Network - Firewall စာမျက်နှာများပေါ်တွင်) ပါဝင်သော စနစ်များတွင်၊ အဝေးမှဝင်ရောက်မှုမူဝါဒတွင် အမှတ်တံဆိပ်ကို ချလိုက်ပါ။ SSH/Telnet/HTTP(S) ကဲ့သို့သော စီစဉ်သတ်မှတ်မှု သို့မဟုတ် ဝန်ဆောင်မှုများသို့ ရောက်ရှိနိုင်စေမည့် CIDR ဖော်မတ် XXXX/XX တွင် အများသူငှာ IP များကို အဖြူရောင်စာရင်းတွင် ထည့်သွင်းပါ။ နောက်ပိုင်းတွင် ရှုပ်ထွေးမှုများကို ရှောင်ရှားရန် ဤထည့်သွင်းမှုများတွင် အတိုချုံးဖော်ပြချက်တစ်ခု ပါဝင်နိုင်သည်။
ယန္တရားများကြား ခြားနားချက်ကို နားလည်ရန် အရေးကြီးပါသည်။ ပို့တ် ထပ်ဆင့်ပို့ခြင်း (NAT/DNAT) သည် ဆိပ်ကမ်းများကို LAN စက်များသို့ ပြန်ညွှန်းသည်။"Filtering rules" သည် WAN-to-LAN သို့မဟုတ် network inter-network traffic ကို ထိန်းချုပ်သော်လည်း firewall ၏ "Whitelist rules" သည် router ၏ စီမံခန့်ခွဲမှုစနစ်သို့ ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်ပါသည်။ စစ်ထုတ်ခြင်းစည်းမျဉ်းများသည် စက်ပစ္စည်းကိုယ်တိုင်ဝင်ရောက်ခွင့်ကို မပိတ်ပင်ထားပေ။ ၎င်းအတွက်၊ သင်သည် router သို့ အဝင်လမ်းကြောင်းနှင့် ပတ်သက်သော သီးသန့်စာရင်းများ သို့မဟုတ် သီးခြားစည်းမျဉ်းများကို အသုံးပြုသည်။
အတွင်းပိုင်းဝန်ဆောင်မှုများကို အသုံးပြုနိုင်ရန်၊ ဆိပ်ကမ်းမြေပုံထုတ်ခြင်းကို NAT တွင် ဖန်တီးထားပြီး ပြင်ပမှ မြေပုံဆွဲခြင်းသို့ရောက်ရှိနိုင်သူအား ကန့်သတ်ထားသည်။ စာရွက်မှာ- လိုအပ်သော port ကိုဖွင့်ပြီး access control ဖြင့်ကန့်သတ်ပါ။ ၎င်းသည် ခွင့်ပြုထားသောရင်းမြစ်များကိုသာ ဖြတ်သန်းခွင့်ပြုပြီး ကျန်အရာများကို ပိတ်ဆို့ထားသည်။
TP-Link SMB (ER6120/ER8411 နှင့် အလားတူ) ရှိ ယုံကြည်ရသော IP များမှ SSH
TL-ER6120 သို့မဟုတ် ER8411 ကဲ့သို့သော SMB router များတွင် LAN ဝန်ဆောင်မှုတစ်ခုအား ကြော်ငြာရန်အတွက် ပုံမှန်ပုံစံ (ဥပမာ၊ အတွင်းဆာဗာတစ်ခုတွင် SSH) နှင့် ၎င်းကို အရင်းအမြစ် IP ဖြင့် ကန့်သတ်ခြင်းမှာ အဆင့်နှစ်ဆင့်ဖြစ်သည်။ ပထမဦးစွာ၊ ဆိပ်ကမ်းကို Virtual Server (NAT) ဖြင့်ဖွင့်ပြီး ၎င်းကို Access Control ဖြင့် စစ်ထုတ်ပါသည်။ IP အုပ်စုများနှင့် ဝန်ဆောင်မှုအမျိုးအစားများအပေါ် အခြေခံသည်။
အဆင့် 1 – Virtual Server- သို့ သွားပါ။ အဆင့်မြင့် → NAT → Virtual Server နှင့် သက်ဆိုင်ရာ WAN အင်တာဖေ့စ်အတွက် ဝင်ခွင့်တစ်ခု ဖန်တီးပေးသည်။ ပြင်ပ port 22 ကို စီစဉ်သတ်မှတ်ပြီး ၎င်းကို ဆာဗာ၏အတွင်းပိုင်း IP လိပ်စာသို့ ညွှန်ပြပါ (ဥပမာ၊ 192.168.0.2:22)စာရင်းတွင်ထည့်ရန် စည်းမျဉ်းကို သိမ်းဆည်းပါ။ သင့်ကိစ္စတွင် မတူညီသော port ကိုအသုံးပြုပါက (ဥပမာ၊ သင်သည် SSH သို့ 2222 သို့ပြောင်းထားသည်)၊ တန်ဖိုးကို ချိန်ညှိပါ။
အဆင့် 2 – ဝန်ဆောင်မှုအမျိုးအစား- ရိုက်ထည့်ပါ။ ဦးစားပေးများ → ဝန်ဆောင်မှု အမျိုးအစားဥပမာ၊ SSH ဟုခေါ်သော ဝန်ဆောင်မှုအသစ်တစ်ခုကို ဖန်တီးပါ၊ ရွေးချယ်ပါ။ TCP သို့မဟုတ် TCP/UDP ဦးတည်ရာ ပို့တ် 22 ကို သတ်မှတ်ပါ (အရင်းအမြစ် ဆိပ်ကမ်း အကွာအဝေး 0–65535 ဖြစ်နိုင်သည်)။ ဤအလွှာသည် သင့်အား ACL တွင် ဆိပ်ကမ်းကို သန့်ရှင်းစွာ ကိုးကားနိုင်စေမည်ဖြစ်သည်။.
အဆင့် 3 – IP အုပ်စု- သို့ သွားပါ။ နှစ်သက်ရာများ → IP အုပ်စု → IP လိပ်စာ ခွင့်ပြုထားသောရင်းမြစ်နှစ်ခုလုံးအတွက် ထည့်သွင်းမှုများ (ဥပမာ၊ သင်၏ အများသူငှာ IP သို့မဟုတ် "Access_Client" ဟု အမည်ပေးထားသည့် အပိုင်းအခြား) နှင့် ဦးတည်ရာအရင်းအမြစ် (ဥပမာ၊ ဆာဗာ၏အတွင်း IP နှင့် "SSH_Server")။ ထို့နောက် သက်ဆိုင်ရာ IP Group နှင့် လိပ်စာတစ်ခုစီကို ပေါင်းစည်းပါ။ တူညီသောမီနူးအတွင်း။
အဆင့် 4 – ဝင်ရောက်ထိန်းချုပ်မှု- in Firewall → Access Control စည်းမျဉ်းနှစ်ခုဖန်တီးပါ။ 1) ခွင့်ပြုစည်းမျဉ်း- မူဝါဒခွင့်ပြုပါ၊ အသစ်သတ်မှတ်ထားသော "SSH" ဝန်ဆောင်မှု၊ အရင်းအမြစ် = IP အုပ်စု "Access_Client" နှင့် destination = "SSH_Server". ID ပေးပါ။ 1. 2) Blocking Rule: Block policy with source = IPGROUP_ANY နှင့် destination = "SSH_Server" ID 2 ဖြင့် (သို့မဟုတ် အသုံးပြုနိုင်သကဲ့သို့)။ ဤနည်းအားဖြင့်၊ ယုံကြည်ရသော IP သို့မဟုတ် အပိုင်းအခြားသည် NAT မှတဆင့် သင့် SSH သို့ ရောက်သွားပါမည်။ ကျန်တာတွေကို ပိတ်ဆို့ထားမယ်။
အကဲဖြတ်မှု အစီအစဥ်သည် အရေးကြီးပါသည်။ အောက် ID များကို ဦးစားပေးသည်။ထို့ကြောင့်၊ Allow rule သည် Block rule (အောက် ID) ရှေ့တွင်ရှိရပါမည်။ အပြောင်းအလဲများကို အသုံးချပြီးနောက်၊ ခွင့်ပြုထားသော IP လိပ်စာမှ သတ်မှတ်ထားသော အပေါက်ရှိ router ၏ WAN IP လိပ်စာသို့ ချိတ်ဆက်နိုင်သော်လည်း အခြားရင်းမြစ်များမှ ချိတ်ဆက်မှုများကို ပိတ်ဆို့သွားပါမည်။
မော်ဒယ်/ ဆော့ဖ်ဝဲမှတ်စုများ- ဟာ့ဒ်ဝဲနှင့် ဗားရှင်းများကြားတွင် အင်တာဖေ့စ်သည် ကွဲပြားနိုင်သည်။ TL-R600VPN သည် အချို့သောလုပ်ဆောင်ချက်များကို ကာမိရန် ဟာ့ဒ်ဝဲ v4 လိုအပ်သည်။ကွဲပြားသောစနစ်များတွင် မီနူးများကို နေရာရွှေ့ပြောင်းနိုင်ပါသည်။ သို့တိုင်အောင်၊ စီးဆင်းမှုသည် အတူတူပင်ဖြစ်သည်- ဝန်ဆောင်မှုအမျိုးအစား → IP အုပ်စုများ → ACL ကို ခွင့်ပြုပြီး ပိတ်ပါ။ မမေ့ပါနှင့် သိမ်းဆည်းပြီး အသုံးချပါ။ နည်းဥပဒေများ အသက်ဝင်လာစေရန်။
အကြံပြုထားသော အတည်ပြုခြင်း- ခွင့်ပြုထားသော IP လိပ်စာမှ ကြိုးစားပါ။ ssh usuario@IP_WAN ဝင်ရောက်ကြည့်ရှုစစ်ဆေးပါ။ အခြား IP လိပ်စာမှ၊ ဆိပ်ကမ်းသည် သုံးစွဲ၍မရတော့ပါ။ သဲလွန်စများပေးခြင်းကို ရှောင်ရှားရန် (သို့) မရောက်နိုင်သော ချိတ်ဆက်မှု (သို့) ပယ်ချခံရခြင်း ၊ အကောင်းဆုံးအားဖြင့် သဲလွန်စများပေးခြင်းကို ရှောင်ရှားရန် ဆိုင်းဘုတ်မပါရှိပါ။
Omada Controller ပါရှိသော ACL- စာရင်းများ၊ ပြည်နယ်များနှင့် ဥပမာပြခန်းများ
Omada Controller ဖြင့် TP-Link gateway များကို သင်စီမံခန့်ခွဲပါက၊ ယုတ္တိဗေဒသည် ဆင်တူသော်လည်း ပိုမိုမြင်သာသော ရွေးချယ်မှုများဖြင့် လုပ်ဆောင်ပါသည်။ အုပ်စုများ (IP သို့မဟုတ် ဆိပ်ကမ်းများ) ဖန်တီးပါ၊ တံခါးပေါက် ACL များကို သတ်မှတ်ကာ စည်းမျဉ်းများကို စုစည်းပါ။ အနိမ့်ဆုံးကိုခွင့်ပြုပြီး အခြားအရာအားလုံးကို ငြင်းပယ်ပါ။
စာရင်းများနှင့် အုပ်စုများ- in ဆက်တင်များ → ပရိုဖိုင်များ → အုပ်စုများ သင်သည် IP အုပ်စုများ (192.168.0.32/27 သို့မဟုတ် 192.168.30.100/32 ကဲ့သို့) နှင့် ပို့တ်အုပ်စုများ (ဥပမာ၊ HTTP 80 နှင့် DNS 53) တို့ကို သင်ဖန်တီးနိုင်သည်။ ဤအုပ်စုများသည် ရှုပ်ထွေးသောစည်းမျဉ်းများကို ရိုးရှင်းစေသည်။ အရာဝတ္ထုများကို ပြန်လည်အသုံးပြုခြင်းဖြင့်
ဂိတ်ဝေး ACL- ဖွင့်ထားသည်။ ဖွဲ့စည်းမှု → ကွန်ရက် လုံခြုံရေး → ACL LAN → WAN၊ LAN → LAN သို့မဟုတ် WAN → LAN လမ်းညွှန်ချက်ဖြင့် သင်ကာကွယ်လိုသည့်အရာပေါ် မူတည်၍ စည်းမျဉ်းများထည့်ပါ။ စည်းမျဉ်းတစ်ခုစီအတွက် မူဝါဒသည် ခွင့်ပြု သို့မဟုတ် ငြင်းပယ်နိုင်သည်။ အမိန့်သည် အမှန်တကယ်ရလဒ်ကို ဆုံးဖြတ်သည်။ ၎င်းတို့ကို အသက်သွင်းရန် "Enable" ကို စစ်ဆေးပါ။ အချို့သောဗားရှင်းများသည် သင့်အား စည်းမျဉ်းများပြင်ဆင်ထားကာ ပိတ်ထားရန် ခွင့်ပြုထားသည်။
အသုံးဝင်သောကိစ္စများ (SSH တွင် လိုက်လျောညီထွေဖြစ်အောင်)- သတ်မှတ်ထားသော ဝန်ဆောင်မှုများကိုသာ ခွင့်ပြုပြီး ကျန်များကို ပိတ်ဆို့ပါ (ဥပမာ၊ DNS နှင့် HTTP ကို ခွင့်ပြုပြီးနောက် အားလုံးကို ငြင်းပယ်ခြင်း)။ စီမံခန့်ခွဲမှုခွင့်ပြုစာရင်းများအတွက်၊ ယုံကြည်စိတ်ချရသော IP များမှခွင့်ပြုရန် "Gateway စီမံခန့်ခွဲမှုစာမျက်နှာ" ကိုဖန်တီးပါ။ ထို့နောက် အခြားကွန်ရက်များမှ ယေဘုယျငြင်းဆိုမှုတစ်ခု။ သင့် firmware တွင်ထိုရွေးချယ်ခွင့်ရှိသည်။ နှစ်ထပ်ကိန်းသင်သည် ပြောင်းပြန်စည်းမျဉ်းကို အလိုအလျောက်ထုတ်ပေးနိုင်သည်။
ချိတ်ဆက်မှုအခြေအနေ- ACL များသည် ဖော်ပြနိုင်သည်။ အသုံးများသောအမျိုးအစားများမှာ အသစ်၊ တည်ထောင်ထားသော၊ ဆက်စပ်နေပြီး မမှန်ကန်ပါ။"New" သည် ပထမဆုံး packet (ဥပမာ TCP တွင် SYN)၊ "Establied" သည် ယခင်က ကြုံတွေ့ခဲ့ရသော လမ်းကြောင်းနှစ်သွယ်အသွားအလာကို ကိုင်တွယ်သည်၊ "related" သည် မှီခိုချိတ်ဆက်မှုများ (FTP ဒေတာချန်နယ်များကဲ့သို့) ကို ကိုင်တွယ်ပြီး "မမှန်ကန်သော" သည် ပုံမှန်မဟုတ်သော အသွားအလာများကို ကိုင်တွယ်ပါသည်။ ပိုအသေးစိတ်ဖော်ပြရန်မလိုအပ်ဘဲ ယေဘုယျအားဖြင့် ပုံသေဆက်တင်များကို ဆက်လက်ထားရှိခြင်းသည် အကောင်းဆုံးဖြစ်သည်။
VLAN နှင့် အပိုင်းခွဲခြင်း- Omada နှင့် SMB router များ ပံ့ပိုးမှု VLAN များကြားတွင် unidirectional နှင့် bidirectional scenarios များသင်သည် စျေးကွက်ရှာဖွေရေး → R&D ကို ပိတ်ဆို့နိုင်သော်လည်း R&D → စျေးကွက်ရှာဖွေခြင်းအား ခွင့်ပြုပါ သို့မဟုတ် လမ်းညွှန်ချက်နှစ်ခုလုံးကို ပိတ်ဆို့ကာ သီးခြားစီမံခန့်ခွဲသူတစ်ဦးအား ခွင့်ပြုဆဲဖြစ်သည်။ ACL ရှိ LAN → LAN ဦးတည်ချက်အား အတွင်းပိုင်းကွန်ရက်များကြား လမ်းကြောင်းကို ထိန်းချုပ်ရန်အတွက် အသုံးပြုသည်။
ထပ်လောင်းနည်းလမ်းများနှင့် အားဖြည့်မှုများ- TCP Wrappers၊ iptables၊ MikroTik နှင့် classic firewall
Router ၏ ACLs များအပြင်၊ အထူးသဖြင့် SSH ဦးတည်ရာသည် router နောက်ကွယ်ရှိ Linux server ဖြစ်ပါက အသုံးပြုသင့်သည့် အခြားအလွှာများရှိပါသည်။ TCP Wrappers သည် hosts.allow နှင့် hosts.deny တို့ဖြင့် IP ဖြင့် စစ်ထုတ်ခြင်းကို ခွင့်ပြုသည်။ သဟဇာတရှိသော ဝန်ဆောင်မှုများပေါ်တွင် (သမားရိုးကျဖွဲ့စည်းပုံများစွာတွင် OpenSSH အပါအဝင်)။
ဖိုင်များကို ထိန်းချုပ်ပါ- ၎င်းတို့မရှိပါက ၎င်းတို့ကို ဖန်တီးပါ။ sudo touch /etc/hosts.{allow,deny}. အကောင်းဆုံးအလေ့အကျင့်- hosts.deny တွင် အရာအားလုံးကို ငြင်းပယ်ပါ။ ၎င်းကို hosts.allow တွင် ပြတ်သားစွာ ခွင့်ပြုသည်။ ဥပမာ- in /etc/hosts.deny ပုည sshd: ALL နှင့် /etc/hosts.allow ဖြည့်စွက် sshd: 203.0.113.10, 198.51.100.0/24ထို့ကြောင့် အဆိုပါ IP များသာလျှင် ဆာဗာ၏ SSH daemon သို့ရောက်ရှိနိုင်မည်ဖြစ်သည်။
စိတ်ကြိုက် iptables- သင့် router သို့မဟုတ် ဆာဗာက ၎င်းကို ခွင့်ပြုပါက၊ သီးခြားရင်းမြစ်များမှ SSH ကိုသာ လက်ခံသည့် စည်းမျဉ်းများထည့်ပါ။ သာမာန် စည်းမျဉ်းတစ်ခု ဖြစ်ပေလိမ့်မည်။: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT မူရင်း DROP မူဝါဒ သို့မဟုတ် ကျန်အရာများကို ပိတ်ဆို့သည့် စည်းမျဉ်းဖြင့် လိုက်နာသည်။ တက်ဘ်တစ်ခုပါရှိသော routers များတွင် စိတ်ကြိုက်စည်းမျဉ်းများ သင်သည် ဤလိုင်းများကို ထိုးသွင်းပြီး "Save & Apply" ဖြင့် အသုံးချနိုင်သည်။
MikroTik တွင် အကောင်းဆုံးအလေ့အကျင့်များ (အထွေထွေလမ်းညွှန်အဖြစ် အသုံးပြုနိုင်သည်- ဖြစ်နိုင်ပါက ပုံသေဆိပ်ကမ်းများကို ပြောင်းလဲပါ၊ Telnet ကို ပိတ်လိုက်ပါ။ (SSH ကိုသာသုံးပါ)၊ အားကောင်းသော စကားဝှက်များကို သုံးပါ သို့မဟုတ် ပိုကောင်းသေးသည်၊ သော့ကို စစ်မှန်ကြောင်းပြခြင်း။Firewall ကို အသုံးပြု၍ IP လိပ်စာဖြင့် ဝင်ရောက်ခွင့်ကို ကန့်သတ်ပါ၊ စက်ပစ္စည်းက ၎င်းကို ပံ့ပိုးပါက 2FA ကို ဖွင့်ပါ၊ နှင့် Firmware/RouterOS ကို ခေတ်မီအောင်ထားပါ။ မလိုအပ်ပါက WAN အသုံးပြုခွင့်ကို ပိတ်ပါ။၎င်းသည် မအောင်မြင်သော ကြိုးပမ်းမှုများကို စောင့်ကြည့်ပြီး လိုအပ်ပါက၊ ရက်စက်ကြမ်းကြုတ်သော အင်အားသုံးတိုက်ခိုက်မှုများကို ထိန်းချုပ်ရန် ချိတ်ဆက်မှုနှုန်းကန့်သတ်ချက်များကို အသုံးပြုသည်။
TP-Link Classic Interface (ဖမ်ဝဲအဟောင်း)- LAN IP လိပ်စာ (မူလ 192.168.1.1) နှင့် စီမံခန့်ခွဲသူ/စီမံခန့်ခွဲသူ အထောက်အထားများကို အသုံးပြု၍ အကန့်သို့ လော့ဂ်အင်ဝင်ပါ၊ ထို့နောက်သို့ သွားပါ။ လုံခြုံရေး → FirewallIP စစ်ထုတ်မှုကိုဖွင့်ပြီး သတ်မှတ်မထားသော အထုပ်များကို အလိုရှိသောမူဝါဒကို လိုက်နာရန် ရွေးချယ်ပါ။ ထို့နောက်တွင်၊ IP လိပ်စာ စစ်ထုတ်ခြင်း။"Add new" ကိုနှိပ်ပြီး သတ်မှတ်ပါ။ မည်သည့် IP များသည် ဝန်ဆောင်မှုဆိပ်ကမ်းကို အသုံးမပြုနိုင်ပါ။ WAN (SSH အတွက်၊ 22/tcp) တွင်။ အဆင့်တိုင်းကို သိမ်းဆည်းပါ။ ၎င်းသည် သင့်အား ယေဘူယျ ငြင်းဆိုမှုကို အသုံးချနိုင်ပြီး ယုံကြည်စိတ်ချရသော IP များကိုသာ ခွင့်ပြုရန် ခြွင်းချက်များကို ဖန်တီးနိုင်သည်။
static လမ်းကြောင်းများဖြင့် သီးခြား IP များကို ပိတ်ဆို့ပါ။
အချို့သော ဝန်ဆောင်မှုများ (ဥပမာ- တိုက်ရိုက်ထုတ်လွှင့်ခြင်းကဲ့သို့) နှင့် တည်ငြိမ်မှုကို တိုးတက်ကောင်းမွန်လာစေရန် သီးခြား IP များသို့ ထွက်သွားခြင်းကို ပိတ်ဆို့ရန် အသုံးဝင်ပါသည်။ TP-Link စက်အများအပြားတွင် ၎င်းကိုလုပ်ဆောင်ရန်နည်းလမ်းတစ်ခုမှာ static routing ဖြင့်ဖြစ်သည်။၊ ထိုနေရာများသို့ မရောက်မီ သို့မဟုတ် ၎င်းတို့ကို ပုံသေလမ်းကြောင်းဖြင့် စားသုံးခြင်းမပြုသည့် နည်းလမ်းဖြင့် လမ်းညွှန်ပေးသည့် /32 လမ်းကြောင်းများကို ဖန်တီးခြင်း (ပံ့ပိုးမှု firmware အလိုက်ကွဲပြားသည်)။
လတ်တလော မော်ဒယ်များ- တက်ဘ်သို့ သွားပါ။ Advanced → Network → Advanced Routing → Static Routing ပြီးလျှင် "+Add" ကိုနှိပ်ပါ။ ပိတ်ဆို့ရန် IP လိပ်စာဖြင့် "Network Destination"၊ "Subnet Mask" 255.255.255.255၊ "Default Gateway" LAN gateway (ပုံမှန်အားဖြင့် 192.168.0.1) နှင့် "Interface" LAN ကို ထည့်သွင်းပါ။ "Allow this entry" ကိုရွေးပြီး save ပါ။သင်ထိန်းချုပ်လိုသောဝန်ဆောင်မှုပေါ်မူတည်၍ ပစ်မှတ် IP လိပ်စာတစ်ခုစီအတွက် ပြန်လုပ်ပါ။
Firmware အဟောင်းများ- သို့ သွားပါ။ အဆင့်မြှင့်တင်ခြင်း → Static routing စာရင်း"Add new" ကိုနှိပ်ပြီး တူညီသောအကွက်များကိုဖြည့်ပါ။ လမ်းကြောင်း အခြေအနေကို အသက်သွင်းပြီး သိမ်းပါ။၎င်းတို့သည် ပြောင်းလဲနိုင်သောကြောင့် မည်သည့် IP များကို ကုသရမည်နည်း။
အတည်ပြုခြင်း- terminal သို့မဟုတ် command prompt ကိုဖွင့်ပြီး စမ်းသပ်ပါ။ ping 8.8.8.8 (သို့မဟုတ် သင်ပိတ်ဆို့ထားသော ဦးတည်ရာ IP လိပ်စာ)။ "Timeout" သို့မဟုတ် "Destination host unreachable" ကိုတွေ့ပါက၊ပိတ်ဆို့ခြင်း သည် အလုပ်လုပ်သည်။ မဟုတ်ပါက အဆင့်များကို ပြန်လည်သုံးသပ်ပြီး ဇယားများအားလုံး အကျိုးသက်ရောက်စေရန် router ကို ပြန်လည်စတင်ပါ။
အတည်ပြုခြင်း၊ စမ်းသပ်ခြင်းနှင့် အဖြစ်အပျက်ဖြေရှင်းခြင်း။
သင်၏ SSH အဖြူရောင်စာရင်းသည် အလုပ်လုပ်ကြောင်း အတည်ပြုရန် ခွင့်ပြုထားသော IP လိပ်စာကို အသုံးပြုကြည့်ပါ။ ssh usuario@IP_WAN -p 22 (သို့မဟုတ် သင်အသုံးပြုသည့် ဆိပ်ကမ်း) နှင့် ဝင်ရောက်ခွင့်ကို အတည်ပြုပါ။ ခွင့်ပြုချက်မရှိဘဲ IP လိပ်စာတစ်ခုမှ၊ ဆိပ်ကမ်းသည် ဝန်ဆောင်မှုကို မပေးသင့်ပါ။။ ယူအက်စ်အေ nmap -p 22 IP_WAN အပူအခြေအနေကိုစစ်ဆေးရန်။
တစ်ခုခုဖြစ်သင့်သလောက် မတုံ့ပြန်ပါက ACL ဦးစားပေးကို စစ်ဆေးပါ။ စည်းမျဉ်းများကို ဆက်တိုက်လုပ်ဆောင်နေပြီး အနိမ့်ဆုံး ID ရှိသူသည် အနိုင်ရသည်။သင်၏ခွင့်ပြုရန်အထက်တွင် ငြင်းဆိုခြင်းသည် ခွင့်ပြုထားသောစာရင်းကို ပျက်ပြယ်စေသည်။ ထို့အပြင်၊ "ဝန်ဆောင်မှုအမျိုးအစား" သည် မှန်ကန်သောဆိပ်ကမ်းသို့ညွှန်ပြပြီး သင်၏ "IP အုပ်စုများ" တွင် သင့်လျော်သောအပိုင်းအခြားများပါ၀င်ကြောင်း စစ်ဆေးပါ။
သံသယဖြစ်ဖွယ်အပြုအမူများ (ခဏကြာပြီးနောက် ချိတ်ဆက်မှု ဆုံးရှုံးခြင်း၊ ၎င်းတို့ဘာသာ ပြောင်းလဲသော စည်းမျဉ်းများ၊ LAN လမ်းကြောင်းများ ကျဆင်းသွားသည်) ကို ထည့်သွင်းစဉ်းစားပါ။ firmware ကိုမွမ်းမံပါသင်အသုံးမပြုသော ဝန်ဆောင်မှုများ (အဝေးထိန်း ဝဘ်/Telnet/SSH စီမံခန့်ခွဲမှု)၊ အထောက်အထားများကို ပြောင်းလဲပါ၊ သက်ဆိုင်ပါက MAC ပွားခြင်းကို စစ်ဆေးပါ၊ နှင့် နောက်ဆုံးတွင်၊ စက်ရုံဆက်တင်များသို့ ပြန်လည်ရယူပြီး အနည်းငယ်မျှသောဆက်တင်များနှင့် တင်းကျပ်သောအဖြူရောင်စာရင်းဖြင့် ပြန်လည်စီစဉ်ပါ။.
လိုက်ဖက်ညီမှု၊ မော်ဒယ်များနှင့် ရရှိနိုင်မှု မှတ်စုများ
အင်္ဂါရပ်များ ရရှိနိုင်မှု (တရားဝင် ACL များ၊ ပရိုဖိုင်များ၊ အဖြူရောင်စာရင်းများ၊ ဆိပ်ကမ်းများပေါ်တွင် PVID တည်းဖြတ်ခြင်း စသည်ဖြင့်) ၎င်းသည် ဟာ့ဒ်ဝဲ မော်ဒယ်နှင့် ဗားရှင်းပေါ်တွင် မူတည်နိုင်သည်။TL-R600VPN ကဲ့သို့သော အချို့သောစက်ပစ္စည်းများတွင် အချို့သောစွမ်းရည်များသည် ဗားရှင်း 4 မှစတင်၍သာ ရရှိနိုင်ပါသည်။ အသုံးပြုသူ အင်တာဖေ့စ်များသည်လည်း ပြောင်းလဲသော်လည်း အခြေခံလုပ်ငန်းစဉ်မှာ အတူတူပင်ဖြစ်သည်- မူရင်းအားဖြင့် ပိတ်ဆို့ခြင်း၊ ဝန်ဆောင်မှုများနှင့် အုပ်စုများကို သတ်မှတ်ပါ။သတ်မှတ်ထားသော IP များမှ ခွင့်ပြုပြီး ကျန်ကို ပိတ်ဆို့ပါ။
TP-Link ဂေဟစနစ်အတွင်း၊ လုပ်ငန်းကွန်ရက်များတွင် ပါ၀င်သည့် စက်ပစ္စည်းများစွာရှိသည်။ စာတမ်းတွင် ကိုးကားထားသော မော်ဒယ်များ ပါဝင်သည်။ T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, T2600G-28MPS၊ T1500G-10MPS၊ SG2210P၊ S4500-8G၊ T1500-28TC၊ T1700X-16TS၊ T1600G-28TS၊ TL-SL3452၊ TL-SG3216၊ T3700Q-8TS T1700G-28TQ၊ T1500-28PCT၊ T2600G-18TS၊ T1600G-28PS၊ T2500G-10MPS၊ Festa FS310GP၊ T1600G-52MPS၊ T1600G-52PS၊ T2500G-10MPS၊ T3700G-28TQ၊ T1500G-8T၊ T1700X-28TQအခြားသူများအကြား။ အဲဒါကို မှတ်ထားပါ။ ကမ်းလှမ်းမှုသည် ဒေသအလိုက် ကွဲပြားသည်။ အချို့ကို သင့်ဒေသတွင် မရရှိနိုင်ပါ။
အပ်ဒိတ်ရှိနေစေရန်၊ သင့်ထုတ်ကုန်၏ ပံ့ပိုးကူညီမှုစာမျက်နှာသို့ သွားရောက်ပါ၊ မှန်ကန်သော ဟာ့ဒ်ဝဲဗားရှင်းကို ရွေးချယ်ပြီး စစ်ဆေးပါ။ Firmware မှတ်စုများနှင့် နည်းပညာဆိုင်ရာ သတ်မှတ်ချက်များ နောက်ဆုံးပေါ်တိုးတက်မှုများနှင့်။ တစ်ခါတစ်ရံတွင် အပ်ဒိတ်များသည် firewall၊ ACL သို့မဟုတ် အဝေးထိန်း စီမံခန့်ခွဲမှုအင်္ဂါရပ်များကို ချဲ့ထွင်ခြင်း သို့မဟုတ် ပြုပြင်ခြင်းများ ပြုလုပ်သည်။
ပိတ်ပါ။ SSH ကို သီးခြား IP များအားလုံးအတွက်၊ ACLs များကို စနစ်တကျ စုစည်းပြီး အရာတစ်ခုစီကို ထိန်းချုပ်သည့် ယန္တရားများကို နားလည်ခြင်းဖြင့် သင့်အား မနှစ်မြို့ဖွယ် အံ့သြဖွယ်ရာများမှ သက်သာစေပါသည်။ မူရင်းငြင်းဆိုမှုမူဝါဒ၊ တိကျသောအဖြူရောင်စာရင်းများနှင့် ပုံမှန်အတည်ပြုခြင်းဖြင့်သင့် TP-Link ရောက်တာနှင့် ၎င်းနောက်ကွယ်ရှိ ဝန်ဆောင်မှုများသည် သင်လိုအပ်သည့်အခါ စီမံခန့်ခွဲမှုကို လက်လွှတ်မခံဘဲ ကာကွယ်ထားနိုင်မည်ဖြစ်သည်။
ငယ်ငယ်ကတည်းက နည်းပညာကို ဝါသနာပါတယ်။ ကျွန်တော်သည် ကဏ္ဍတွင် ခေတ်မီနေခြင်းနှင့် ဆက်သွယ်ပြောဆိုခြင်းကို နှစ်သက်ပါသည်။ ထို့ကြောင့် ကျွန်ုပ်သည် နည်းပညာနှင့် ဗီဒီယိုဂိမ်းဝဘ်ဆိုဒ်များတွင် ဆက်သွယ်ရန် နှစ်ပေါင်းများစွာ အာရုံစိုက်လာခဲ့သည်။ Android၊ Windows၊ MacOS၊ iOS၊ Nintendo သို့မဟုတ် အခြားဆက်စပ်အကြောင်းအရာတစ်ခုခုကို ရေးနေသည့် ကျွန်ုပ်ကို သင်တွေ့နိုင်သည်။