विश्वसनीय IP हरू सम्म TP-Link राउटरमा SSH पहुँच कसरी प्रतिबन्धित गर्ने

¿TP-Link राउटरमा SSH पहुँचलाई विश्वसनीय IP हरूमा कसरी प्रतिबन्धित गर्ने? SSH मार्फत तपाईंको नेटवर्क कसले पहुँच गर्न सक्छ भनेर नियन्त्रण गर्नु कुनै लहड होइन, यो सुरक्षाको एक आवश्यक तह हो। विश्वसनीय IP ठेगानाहरूबाट मात्र पहुँच अनुमति दिनुहोस् यसले आक्रमणको सतह घटाउँछ, स्वचालित स्क्यानहरूलाई ढिलो बनाउँछ, र इन्टरनेटबाट निरन्तर घुसपैठ प्रयासहरूलाई रोक्छ।

यस व्यावहारिक र विस्तृत गाइडमा तपाईंले TP-Link उपकरणहरू (SMB र Omada) मार्फत विभिन्न परिदृश्यहरूमा यो कसरी गर्ने, ACL नियमहरू र श्वेतसूचीहरूमा के विचार गर्ने, र सबै कुरा राम्ररी बन्द छ भनी कसरी प्रमाणित गर्ने भनेर देख्नुहुनेछ। हामी TCP र्‍यापरहरू, iptables, र उत्तम अभ्यासहरू जस्ता अतिरिक्त विधिहरू एकीकृत गर्छौं। ताकि तपाईं कुनै पनि खुकुलो ठाउँ नछोडिकन आफ्नो वातावरण सुरक्षित गर्न सक्नुहुन्छ।

TP-Link राउटरहरूमा SSH पहुँच किन सीमित गर्ने?

इन्टरनेटमा SSH लाई उजागर गर्नाले पहिले नै जिज्ञासु बटहरूद्वारा दुर्भावनापूर्ण उद्देश्यले ठूलो मात्रामा चोरी हुने ढोका खोल्छ। स्क्यान पछि WAN मा पहुँचयोग्य पोर्ट २२ पत्ता लगाउनु असामान्य कुरा होइन, जस्तै [SSH का उदाहरणहरू] मा अवलोकन गरिएको छ। TP-Link राउटरहरूमा गम्भीर विफलताहरू. तपाईंको सार्वजनिक IP ठेगानामा पोर्ट २२ खुला छ कि छैन भनेर जाँच गर्न साधारण nmap आदेश प्रयोग गर्न सकिन्छ।: बाह्य मेसिनमा यस्तै केहि कार्यान्वयन गर्दछ nmap -vvv -p 22 TU_IP_PUBLICA र "open ssh" देखिन्छ कि भनेर जाँच गर्नुहोस्।

यदि तपाईंले सार्वजनिक कुञ्जीहरू प्रयोग गर्नुभयो भने पनि, पोर्ट २२ खुला छोड्दा थप अन्वेषण, अन्य पोर्टहरू परीक्षण, र व्यवस्थापन सेवाहरूमाथि आक्रमण निम्तो दिन्छ। समाधान स्पष्ट छ: पूर्वनिर्धारित रूपमा अस्वीकार गर्नुहोस् र अनुमति दिइएको IP हरू वा दायराहरूबाट मात्र सक्षम गर्नुहोस्।तपाईंद्वारा निश्चित र नियन्त्रित। यदि तपाईंलाई रिमोट व्यवस्थापन आवश्यक छैन भने, WAN मा यसलाई पूर्ण रूपमा असक्षम पार्नुहोस्।

पोर्टहरू खुला गर्नुको अतिरिक्त, त्यहाँ परिस्थितिहरू छन् जहाँ तपाईंले नियम परिवर्तन वा असामान्य व्यवहारको शंका गर्न सक्नुहुन्छ (उदाहरणका लागि, केबल मोडेम जसले केही समय पछि बाहिर जाने ट्राफिक "ड्रप" गर्न थाल्छ)। यदि तपाईंले पिङ, ट्रेसराउट, वा ब्राउजिङ मोडेमबाट बाहिर निस्किरहेको देख्नुभयो भने, सेटिङहरू, फर्मवेयर जाँच गर्नुहोस् र फ्याक्ट्री सेटिङहरू पुनर्स्थापित गर्ने विचार गर्नुहोस्। र तपाईंले प्रयोग नगर्ने सबै कुरा बन्द गर्नुहोस्।

मानसिक मोडेल: पूर्वनिर्धारित रूपमा रोक्नुहोस् र श्वेतसूची सिर्जना गर्नुहोस्

विजयी दर्शन सरल छ: पूर्वनिर्धारित अस्वीकार नीति र स्पष्ट अपवादहरूउन्नत इन्टरफेस भएका धेरै TP-Link राउटरहरूमा, तपाईंले फायरवालमा ड्रप-टाइप रिमोट इन्ग्रेस नीति सेट गर्न सक्नुहुन्छ, र त्यसपछि व्यवस्थापन सेवाहरूको लागि ह्वाइटलिस्टमा विशिष्ट ठेगानाहरूलाई अनुमति दिन सक्नुहुन्छ।

"रिमोट इनपुट नीति" र "ह्वाइटलिस्ट नियमहरू" विकल्पहरू समावेश गर्ने प्रणालीहरूमा (नेटवर्क - फायरवाल पृष्ठहरूमा), रिमोट इन्ट्री नीतिमा ब्रान्ड छोड्नुहोस् र SSH/Telnet/HTTP(S) जस्ता कन्फिगरेसन वा सेवाहरूमा पुग्न सक्षम हुनुपर्ने CIDR ढाँचा XXXX/XX मा सार्वजनिक IP हरू श्वेतसूचीमा थप्नुहोस्। पछि भ्रमबाट बच्न यी प्रविष्टिहरूमा संक्षिप्त विवरण समावेश गर्न सकिन्छ।

संयन्त्रहरू बीचको भिन्नता बुझ्नु महत्त्वपूर्ण छ। पोर्ट फर्वार्डिङ (NAT/DNAT) ले पोर्टहरूलाई LAN मेसिनहरूमा रिडिरेक्ट गर्छ।"फिल्टरिङ नियमहरू" ले WAN-देखि-LAN वा अन्तर-नेटवर्क ट्राफिक नियन्त्रण गर्छ भने, फायरवालको "ह्वाइटलिस्ट नियमहरू" ले राउटरको व्यवस्थापन प्रणालीमा पहुँचलाई नियन्त्रण गर्छ। फिल्टरिङ नियमहरूले उपकरणमा नै पहुँचलाई रोक्दैनन्; त्यसको लागि, तपाईंले राउटरमा आउने ट्राफिक सम्बन्धी ह्वाइटलिस्टहरू वा विशेष नियमहरू प्रयोग गर्नुहुन्छ।

आन्तरिक सेवाहरू पहुँच गर्न, पोर्ट म्यापिङ NAT मा सिर्जना गरिन्छ र त्यसपछि बाहिरबाट त्यो म्यापिङमा कसले पुग्न सक्छ भन्ने कुरा सीमित हुन्छ। नुस्खा यस्तो छ: आवश्यक पोर्ट खोल्नुहोस् र त्यसपछि पहुँच नियन्त्रणको साथ यसलाई प्रतिबन्धित गर्नुहोस्। जसले केवल आधिकारिक स्रोतहरूलाई मात्र पास गर्न अनुमति दिन्छ र बाँकीलाई रोक्छ।

TP-Link SMB (ER6120/ER8411 र समान) मा विश्वसनीय IP हरूबाट SSH

TL-ER6120 वा ER8411 जस्ता SMB राउटरहरूमा, LAN सेवाको विज्ञापन गर्ने (जस्तै, आन्तरिक सर्भरमा SSH) र स्रोत IP द्वारा सीमित गर्ने सामान्य ढाँचा दुई-चरणको हुन्छ। पहिले, पोर्टलाई भर्चुअल सर्भर (NAT) मार्फत खोलिन्छ, र त्यसपछि यसलाई पहुँच नियन्त्रण मार्फत फिल्टर गरिन्छ। IP समूहहरू र सेवा प्रकारहरूमा आधारित।

चरण १ – भर्चुअल सर्भर: जानुहोस् उन्नत → NAT → भर्चुअल सर्भर र सम्बन्धित WAN इन्टरफेसको लागि एउटा प्रविष्टि सिर्जना गर्दछ। बाह्य पोर्ट २२ कन्फिगर गर्नुहोस् र यसलाई सर्भरको आन्तरिक IP ठेगानामा देखाउनुहोस् (उदाहरणका लागि, १९२.१६८.०.२:२२)सूचीमा थप्न नियम बचत गर्नुहोस्। यदि तपाईंको केसले फरक पोर्ट प्रयोग गर्दछ (जस्तै, तपाईंले SSH लाई २२२२ मा परिवर्तन गर्नुभएको छ), तदनुसार मान समायोजन गर्नुहोस्।

चरण २ – सेवा प्रकार: प्रविष्ट गर्नुहोस् प्राथमिकताहरू → सेवा प्रकार, उदाहरणका लागि, SSH भनिने नयाँ सेवा सिर्जना गर्नुहोस्, चयन गर्नुहोस् TCP वा TCP/UDP र गन्तव्य पोर्ट २२ परिभाषित गर्नुहोस् (स्रोत पोर्ट दायरा ०–६५५३५ हुन सक्छ)। यो तहले तपाईंलाई ACL मा पोर्टलाई सफासँग सन्दर्भ गर्न अनुमति दिनेछ।.

चरण ३ – आईपी समूह: जानुहोस् प्राथमिकताहरू → IP समूह → IP ठेगाना र अनुमति दिइएको स्रोत (जस्तै तपाईंको सार्वजनिक IP वा "Access_Client" नामक दायरा) र गन्तव्य स्रोत (जस्तै सर्भरको आन्तरिक IP भएको "SSH_Server") दुवैका लागि प्रविष्टिहरू थप्नुहोस्। त्यसपछि प्रत्येक ठेगानालाई यसको सम्बन्धित IP समूहसँग सम्बद्ध गर्नुहोस्। एउटै मेनु भित्र।

चरण ४ - पहुँच नियन्त्रण: भित्र फायरवाल → पहुँच नियन्त्रण दुई नियमहरू सिर्जना गर्नुहोस्। १) अनुमति दिनुहोस् नियम: नीतिलाई अनुमति दिनुहोस्, नयाँ परिभाषित "SSH" सेवा, स्रोत = IP समूह "Access_Client" र गन्तव्य = "SSH_Server"। यसलाई ID दिनुहोस् १. २) अवरुद्ध गर्ने नियम: नीतिलाई रोक्नुहोस् स्रोत = IPGROUP_ANY र गन्तव्य = “SSH_Server” (वा लागू भएमा) ID २ सँग। यस तरिकाले, केवल विश्वसनीय IP वा दायरा NAT मार्फत तपाईंको SSH मा जानेछ; बाँकी ब्लक गरिनेछ।

मूल्याङ्कनको क्रम महत्त्वपूर्ण छ। कम परिचयपत्रहरूले प्राथमिकता लिन्छन्त्यसकारण, अनुमति नियम ब्लक नियमभन्दा अगाडि (तल्लो ID) हुनुपर्छ। परिवर्तनहरू लागू गरेपछि, तपाईं अनुमति दिइएको IP ठेगानाबाट परिभाषित पोर्टमा राउटरको WAN IP ठेगानामा जडान गर्न सक्षम हुनुहुनेछ, तर अन्य स्रोतहरूबाट जडानहरू अवरुद्ध हुनेछन्।

मोडेल/फर्मवेयर नोटहरू: इन्टरफेस हार्डवेयर र संस्करणहरू बीच फरक हुन सक्छ। TL-R600VPN लाई निश्चित प्रकार्यहरू समेट्न हार्डवेयर v4 आवश्यक पर्दछ।र फरक-फरक प्रणालीहरूमा, मेनुहरू स्थानान्तरण हुन सक्छन्। तैपनि, प्रवाह एउटै छ: सेवा प्रकार → IP समूहहरू → ACL अनुमति र ब्लक सहित। नबिर्सनुहोस् बचत गर्नुहोस् र लागू गर्नुहोस् नियमहरू लागू हुनको लागि।

सिफारिस गरिएको प्रमाणीकरण: अधिकृत IP ठेगानाबाट, प्रयास गर्नुहोस् ssh usuario@IP_WAN र पहुँच प्रमाणित गर्नुहोस्। अर्को IP ठेगानाबाट, पोर्ट पहुँचयोग्य हुनु हुँदैन। (जुन जडान आइपुग्दैन वा अस्वीकृत हुन्छ, आदर्श रूपमा सुराग दिनबाट बच्न ब्यानर बिना)।

ओमाडा नियन्त्रकको साथ ACL: सूचीहरू, अवस्थाहरू, र उदाहरण परिदृश्यहरू

यदि तपाईंले ओमाडा कन्ट्रोलरको साथ TP-Link गेटवेहरू व्यवस्थापन गर्नुहुन्छ भने, तर्क समान छ तर थप दृश्य विकल्पहरू सहित। समूहहरू (IP वा पोर्टहरू) सिर्जना गर्नुहोस्, गेटवे ACL हरू परिभाषित गर्नुहोस्, र नियमहरू व्यवस्थित गर्नुहोस् न्यूनतम कुरालाई अनुमति दिन र अरू सबै कुरालाई अस्वीकार गर्न।

सूची र समूहहरू: मा सेटिङहरू → प्रोफाइलहरू → समूहहरू तपाईंले IP समूहहरू (सबनेट वा होस्टहरू, जस्तै १९२.१६८.०.३२/२७ वा १९२.१६८.३०.१००/३२) र पोर्ट समूहहरू (उदाहरणका लागि, HTTP ८० र DNS ५३) सिर्जना गर्न सक्नुहुन्छ। यी समूहहरूले जटिल नियमहरूलाई सरल बनाउँछन् वस्तुहरूको पुन: प्रयोग गरेर।

गेटवे ACL: सक्रिय कन्फिगरेसन → नेटवर्क सुरक्षा → ACL तपाईंले के सुरक्षित गर्न चाहनुहुन्छ भन्ने आधारमा LAN→WAN, LAN→LAN वा WAN→LAN दिशा सहित नियमहरू थप्नुहोस्। प्रत्येक नियमको नीति अनुमति दिनुहोस् वा अस्वीकार गर्नुहोस् हुन सक्छ। र क्रमले वास्तविक परिणाम निर्धारण गर्छ। तिनीहरूलाई सक्रिय गर्न "सक्षम गर्नुहोस्" जाँच गर्नुहोस्। केही संस्करणहरूले तपाईंलाई नियमहरू तयार र असक्षम छोड्न अनुमति दिन्छ।

उपयोगी केसहरू (SSH मा अनुकूलनीय): केवल विशिष्ट सेवाहरूलाई अनुमति दिनुहोस् र बाँकीलाई रोक्नुहोस् (जस्तै, DNS र HTTP लाई अनुमति दिनुहोस् र त्यसपछि सबैलाई अस्वीकार गर्नुहोस्)। व्यवस्थापन श्वेतसूचीहरूको लागि, विश्वसनीय IP हरूबाट "गेटवे प्रशासन पृष्ठ" मा अनुमति दिनुहोस् सिर्जना गर्नुहोस्। र त्यसपछि अन्य नेटवर्कहरूबाट सामान्य अस्वीकार। यदि तपाईंको फर्मवेयरमा त्यो विकल्प छ भने। Bideireccionalतपाईंले स्वचालित रूपमा उल्टो नियम उत्पन्न गर्न सक्नुहुन्छ।

जडान स्थिति: ACL हरू स्टेटफुल हुन सक्छन्। सामान्य प्रकारहरू नयाँ, स्थापित, सम्बन्धित, र अवैध हुन्।"नयाँ" ले पहिलो प्याकेट ह्यान्डल गर्छ (जस्तै, TCP मा SYN), "स्थापित" ले पहिले सामना गरेको द्विदिशात्मक ट्राफिक ह्यान्डल गर्छ, "सम्बन्धित" ले निर्भर जडानहरू (जस्तै FTP डेटा च्यानलहरू) ह्यान्डल गर्छ, र "अमान्य" ले असामान्य ट्राफिक ह्यान्डल गर्छ। तपाईंलाई अतिरिक्त ग्र्यानुलारिटी आवश्यक नपरेसम्म पूर्वनिर्धारित सेटिङहरू राख्नु सामान्यतया उत्तम हुन्छ।

VLAN र विभाजन: Omada र SMB राउटरहरूले समर्थन गर्छन् VLAN हरू बीच एकदिशात्मक र द्विदिशात्मक परिदृश्यहरूतपाईं मार्केटिङ→आर एन्ड डी ब्लक गर्न सक्नुहुन्छ तर आर एन्ड डी→मार्केटिङलाई अनुमति दिन सक्नुहुन्छ, वा दुवै दिशाहरू ब्लक गर्न सक्नुहुन्छ र अझै पनि एक विशिष्ट प्रशासकलाई अधिकार दिन सक्नुहुन्छ। ACL मा LAN→LAN दिशा आन्तरिक सबनेटहरू बीचको ट्राफिक नियन्त्रण गर्न प्रयोग गरिन्छ।

थप विधिहरू र सुदृढीकरणहरू: TCP र्‍यापरहरू, iptables, MikroTik र क्लासिक फायरवाल

राउटरको ACL हरू बाहेक, अन्य तहहरू पनि लागू गर्नुपर्छ, विशेष गरी यदि SSH गन्तव्य राउटर पछाडिको Linux सर्भर हो भने। TCP र्‍यापरहरूले hosts.allow र hosts.deny सँग IP द्वारा फिल्टर गर्न अनुमति दिन्छ। उपयुक्त सेवाहरूमा (धेरै परम्परागत कन्फिगरेसनहरूमा OpenSSH सहित)।

नियन्त्रण फाइलहरू: यदि तिनीहरू अवस्थित छैनन् भने, तिनीहरूलाई सिर्जना गर्नुहोस् sudo touch /etc/hosts.{allow,deny}. उत्तम अभ्यास: hosts.deny मा सबै कुरा अस्वीकार गर्नुहोस् र hosts.allow मा स्पष्ट रूपमा अनुमति दिन्छ। उदाहरणका लागि: मा /etc/hosts.deny pon sshd: ALL र भित्र /etc/hosts.allow जोड्नुहोस् sshd: 203.0.113.10, 198.51.100.0/24यसरी, ती IP हरू मात्र सर्भरको SSH डेमनमा पुग्न सक्षम हुनेछन्।

अनुकूलन iptables: यदि तपाईंको राउटर वा सर्भरले यसलाई अनुमति दिन्छ भने, विशेष स्रोतहरूबाट मात्र SSH स्वीकार गर्ने नियमहरू थप्नुहोस्। एउटा सामान्य नियम यस्तो हुनेछ: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT त्यसपछि पूर्वनिर्धारित DROP नीति वा बाँकीलाई ब्लक गर्ने नियम आउँछ। ट्याब भएका राउटरहरूमा अनुकूलन नियमहरू तपाईंले यी लाइनहरू इन्जेक्ट गर्न सक्नुहुन्छ र "सेभ एण्ड अप्लाई" प्रयोग गरेर लागू गर्न सक्नुहुन्छ।

MikroTik मा उत्कृष्ट अभ्यासहरू (सामान्य गाइडको रूपमा लागू): सम्भव भएमा पूर्वनिर्धारित पोर्टहरू परिवर्तन गर्नुहोस्, टेलनेट निष्क्रिय पार्नुहोस् (SSH मात्र प्रयोग गर्नुहोस्), बलियो पासवर्ड प्रयोग गर्नुहोस् वा, अझ राम्रो, कुञ्जी प्रमाणीकरणफायरवाल प्रयोग गरेर IP ठेगानाद्वारा पहुँच सीमित गर्नुहोस्, यदि उपकरणले समर्थन गर्दछ भने 2FA सक्षम गर्नुहोस्, र फर्मवेयर/राउटरओएस अद्यावधिक राख्नुहोस्। यदि तपाईंलाई आवश्यक छैन भने WAN पहुँच असक्षम पार्नुहोस्यसले असफल प्रयासहरूको निगरानी गर्छ र आवश्यक परेमा, क्रूर बल आक्रमणहरूलाई रोक्न जडान दर सीमाहरू लागू गर्छ।

TP-Link क्लासिक इन्टरफेस (पुरानो फर्मवेयर): LAN IP ठेगाना (पूर्वनिर्धारित १९२.१६८.१.१) र व्यवस्थापक/प्रशासक प्रमाणहरू प्रयोग गरेर प्यानलमा लग इन गर्नुहोस्, त्यसपछि जानुहोस् सुरक्षा → फायरवालIP फिल्टर सक्षम गर्नुहोस् र निर्दिष्ट नगरिएका प्याकेटहरूले इच्छित नीति पालना गर्ने छनौट गर्नुहोस्। त्यसपछि, भित्र IP ठेगाना फिल्टरिङ, "नयाँ थप्नुहोस्" थिच्नुहोस् र परिभाषित गर्नुहोस् कुन IP हरूले सेवा पोर्ट प्रयोग गर्न सक्छन् वा सक्दैनन् WAN मा (SSH, 22/tcp को लागि)। प्रत्येक चरण बचत गर्नुहोस्। यसले तपाईंलाई सामान्य अस्वीकार लागू गर्न र विश्वसनीय IP हरूलाई मात्र अनुमति दिन अपवादहरू सिर्जना गर्न अनुमति दिन्छ।

स्थिर मार्गहरू सहित विशिष्ट IP हरू रोक्नुहोस्

केही अवस्थामा निश्चित सेवाहरू (जस्तै स्ट्रिमिङ) मा स्थिरता सुधार गर्न विशिष्ट IP हरूमा जानेहरूलाई ब्लक गर्नु उपयोगी हुन्छ। धेरै TP-Link उपकरणहरूमा यो गर्ने एउटा तरिका स्थिर राउटिङ मार्फत हो।, ती गन्तव्यहरूमा पुग्नबाट बच्ने /३२ रुटहरू सिर्जना गर्ने वा तिनीहरूलाई पूर्वनिर्धारित रुटले खपत नगर्ने तरिकाले निर्देशित गर्ने (समर्थन फर्मवेयर अनुसार फरक हुन्छ)।

भर्खरका मोडेलहरू: ट्याबमा जानुहोस् उन्नत → नेटवर्क → उन्नत राउटिङ → स्थिर राउटिङ र "+ थप्नुहोस्" थिच्नुहोस्। ब्लक गर्नुपर्ने IP ठेगाना सहित "नेटवर्क गन्तव्य", "सबनेट मास्क" २५५.२५५.२५५.२५५, LAN गेटवे (सामान्यतया १९२.१६८.०.१) "डिफल्ट गेटवे" र "इन्टरफेस" LAN प्रविष्ट गर्नुहोस्। "यस प्रविष्टिलाई अनुमति दिनुहोस्" चयन गर्नुहोस् र बचत गर्नुहोस्तपाईंले नियन्त्रण गर्न चाहनुभएको सेवाको आधारमा प्रत्येक लक्षित IP ठेगानाको लागि दोहोर्याउनुहोस्।

पुराना फर्मवेयरहरू: जानुहोस् उन्नत मार्ग → स्थिर मार्ग सूची, "नयाँ थप्नुहोस्" थिच्नुहोस् र उही क्षेत्रहरू भर्नुहोस्। मार्ग स्थिति सक्रिय गर्नुहोस् र बचत गर्नुहोस्कुन IP हरू परिवर्तन हुन सक्छन् भनेर पत्ता लगाउन आफ्नो सेवाको समर्थनलाई परामर्श गर्नुहोस्।

प्रमाणीकरण: टर्मिनल वा कमाण्ड प्रम्प्ट खोल्नुहोस् र परीक्षण गर्नुहोस् ping 8.8.8.8 (वा तपाईंले अवरुद्ध गर्नुभएको गन्तव्य आईपी)। यदि तपाईंले "टाइमआउट" वा "डेस्टिनेशन होस्ट पहुँचयोग्य छैन" देख्नुभयो भनेब्लकिङले काम गरिरहेको छ। यदि छैन भने, चरणहरूको समीक्षा गर्नुहोस् र सबै तालिकाहरू प्रभावकारी हुनको लागि राउटर पुन: सुरु गर्नुहोस्।

प्रमाणीकरण, परीक्षण, र घटना समाधान

तपाईंको SSH श्वेतसूचीले काम गरिरहेको छ भनी प्रमाणित गर्न, आधिकारिक IP ठेगाना प्रयोग गर्ने प्रयास गर्नुहोस्। ssh usuario@IP_WAN -p 22 (वा तपाईंले प्रयोग गर्ने पोर्ट) र पहुँच पुष्टि गर्नुहोस्। अनधिकृत IP ठेगानाबाट, पोर्टले सेवा प्रदान गर्नु हुँदैन।। संयुक्त राज्य अमेरिका nmap -p 22 IP_WAN तातो अवस्था जाँच गर्न।

यदि केहि कुराले जस्तो प्रतिक्रिया दिइरहेको छैन भने, ACL प्राथमिकता जाँच गर्नुहोस्। नियमहरू क्रमिक रूपमा प्रशोधन गरिन्छन्, र सबैभन्दा कम ID भएकाहरूले जित्छन्।तपाईंको अनुमति माथिको अस्वीकारले श्वेतसूचीलाई अमान्य बनाउँछ। साथै, "सेवा प्रकार" ले सही पोर्टलाई औंल्याउँछ र तपाईंको "IP समूहहरू" मा उपयुक्त दायराहरू छन् भनी जाँच गर्नुहोस्।

शंकास्पद व्यवहारको घटनामा (केही समय पछि कनेक्टिभिटी गुमाउनु, आफैं परिवर्तन हुने नियमहरू, LAN ट्राफिक घट्नु), विचार गर्नुहोस् फर्मवेयर अपडेट गर्नुहोस्तपाईंले प्रयोग नगर्ने सेवाहरू (रिमोट वेब/टेलनेट/SSH प्रशासन) असक्षम पार्नुहोस्, प्रमाणहरू परिवर्तन गर्नुहोस्, लागू भएमा MAC क्लोनिङ जाँच गर्नुहोस्, र अन्ततः, फ्याक्ट्री सेटिङहरूमा पुनर्स्थापित गर्नुहोस् र न्यूनतम सेटिङहरू र कडा श्वेतसूचीको साथ पुन: कन्फिगर गर्नुहोस्।.

अनुकूलता, मोडेल, र उपलब्धता नोटहरू

सुविधाहरूको उपलब्धता (स्टेटफुल ACL, प्रोफाइल, ह्वाइटलिस्ट, पोर्टहरूमा PVID सम्पादन, आदि) यो हार्डवेयर मोडेल र संस्करणमा निर्भर हुन सक्छ।TL-R600VPN जस्ता केही उपकरणहरूमा, केही क्षमताहरू संस्करण ४ देखि मात्र उपलब्ध हुन्छन्। प्रयोगकर्ता इन्टरफेसहरू पनि परिवर्तन हुन्छन्, तर आधारभूत प्रक्रिया उस्तै हुन्छ: पूर्वनिर्धारित रूपमा ब्लक गर्ने, सेवाहरू र समूहहरू परिभाषित गर्नुहोस्, विशिष्ट IP हरूबाट अनुमति दिनुहोस् र बाँकीलाई ब्लक गर्नुहोस्।

TP-Link इकोसिस्टम भित्र, इन्टरप्राइज नेटवर्कहरूमा संलग्न धेरै उपकरणहरू छन्। कागजातमा उद्धृत गरिएका मोडेलहरूमा समावेश छन् T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10FS, T2500G-10F2TS, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-28TC, T3700G-28TG T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, फेस्टा FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQअरु मध्ये। ध्यान राख्नुहोस् कि यो अफर क्षेत्र अनुसार फरक-फरक हुन्छ। र केही तपाईंको क्षेत्रमा उपलब्ध नहुन सक्छन्।

अद्यावधिक रहनको लागि, आफ्नो उत्पादनको समर्थन पृष्ठमा जानुहोस्, सही हार्डवेयर संस्करण छनौट गर्नुहोस्, र जाँच गर्नुहोस् फर्मवेयर नोटहरू र प्राविधिक विशिष्टताहरू पछिल्लो सुधारहरू सहित। कहिलेकाहीँ अद्यावधिकहरूले फायरवाल, ACL, वा रिमोट व्यवस्थापन सुविधाहरू विस्तार वा परिष्कृत गर्छन्।

बन्द गर्नुहोस् SSH विशिष्ट IP हरू बाहेक सबैको लागि, ACL हरूलाई राम्ररी व्यवस्थित गर्न र प्रत्येक चीजलाई कुन संयन्त्रले नियन्त्रण गर्छ भनेर बुझ्नाले तपाईंलाई अप्रिय आश्चर्यबाट बचाउँछ। पूर्वनिर्धारित अस्वीकार नीति, सटीक श्वेतसूचीहरू, र नियमित प्रमाणीकरणको साथतपाईंको TP-Link राउटर र यसको पछाडि रहेका सेवाहरू तपाईंलाई आवश्यक पर्दा व्यवस्थापन नत्यागेर धेरै राम्रोसँग सुरक्षित हुनेछन्।

सम्बन्धित लेख:

TP-Link ले इन्टरप्राइज राउटरहरूमा गम्भीर विफलता र बढ्दो नियामक दबाबको सामना गरिरहेको छ

क्रिस्टियन गार्सिया

सानैदेखि टेक्नोलोजीमा रुचि थियो । मलाई सेक्टरमा अप टु डेट हुन मन पर्छ र, सबै भन्दा माथि, यो संचार गर्न। यसैले म धेरै वर्षदेखि प्रविधि र भिडियो गेम वेबसाइटहरूमा सञ्चारमा समर्पित छु। तपाईले मलाई एन्ड्रोइड, विन्डोज, म्याकओएस, आईओएस, निन्टेन्डो वा दिमागमा आउने अन्य सम्बन्धित विषयहरूको बारेमा लेखेको पाउन सक्नुहुन्छ।