- Geef prioriteit aan een standaard weigeringsbeleid en gebruik whitelists voor SSH.
- Combineert NAT + ACL: opent de poort en beperkt deze op basis van bron-IP.
- Controleer met nmap/ping en respecteer de regelprioriteit (ID).
- Versterk met updates, SSH-sleutels en minimale services.
¿Hoe beperk ik SSH-toegang tot een TP-Link-router tot vertrouwde IP-adressen? Het bepalen wie via SSH toegang heeft tot uw netwerk is geen gril, maar een essentiële beveiligingslaag. Alleen toegang toestaan vanaf vertrouwde IP-adressen Het verkleint het aanvalsoppervlak, vertraagt automatische scans en voorkomt voortdurende inbraakpogingen via internet.
In deze praktische en uitgebreide handleiding leest u hoe u dit kunt doen in verschillende scenario's met TP-Link-apparatuur (SMB en Omada), waar u rekening mee moet houden met ACL-regels en whitelists en hoe u kunt controleren of alles goed is afgesloten. We integreren aanvullende methoden zoals TCP Wrappers, iptables en best practices zodat u uw omgeving kunt beveiligen, zonder dat er losse eindjes overblijven.
Waarom SSH-toegang op TP-Link-routers beperken
Het blootstellen van SSH aan het internet opent de deur voor grootschalige controles door toch al nieuwsgierige bots met kwade bedoelingen. Het is niet ongebruikelijk om na een scan poort 22 te detecteren die toegankelijk is op het WAN, zoals is waargenomen in [voorbeelden van SSH]. kritieke storingen in TP-Link-routers. Met de eenvoudige nmap-opdracht kunt u controleren of poort 22 openstaat op uw openbare IP-adres.: voert zoiets uit op een externe machine nmap -vvv -p 22 TU_IP_PUBLICA en controleer of "open ssh" verschijnt.
Zelfs als u openbare sleutels gebruikt, nodigt het openlaten van poort 22 uit tot verder onderzoek, het testen van andere poorten en aanvallen op beheerservices. De oplossing is duidelijk: weiger standaard en schakel alleen in vanaf toegestane IP's of bereiken.Bij voorkeur vast en door u beheerd. Als u geen extern beheer nodig hebt, schakelt u dit volledig uit op het WAN.
Naast het blootstellen van poorten zijn er situaties waarin u mogelijk regelwijzigingen of afwijkend gedrag vermoedt (bijvoorbeeld een kabelmodem die na een tijdje uitgaand verkeer begint te 'verwijderen'). Als u merkt dat ping, traceroute of browsen de modem niet passeren, controleer dan de instellingen en firmware en overweeg om de fabrieksinstellingen te herstellen. en sluit alles wat u niet gebruikt.
Mentaal model: standaard blokkeren en een witte lijst maken
De winnende filosofie is eenvoudig: standaard weigeringsbeleid en expliciete uitzonderingenOp veel TP-Link-routers met een geavanceerde interface kunt u een Drop-type extern ingangsbeleid instellen in de firewall en vervolgens specifieke adressen op een witte lijst toestaan voor beheerservices.
Op systemen met de opties 'Beleid voor externe invoer' en 'Regels voor witte lijst' (op de pagina's Netwerk - Firewall), Merknaam laten vallen in beleid voor toegang op afstand Voeg aan de whitelist de openbare IP-adressen in CIDR-formaat XXXX/XX toe die de configuratie of services zoals SSH/Telnet/HTTP(S) moeten kunnen bereiken. Deze vermeldingen kunnen een korte beschrijving bevatten om latere verwarring te voorkomen.
Het is van cruciaal belang om het verschil tussen de mechanismen te begrijpen. Port forwarding (NAT/DNAT) leidt poorten om naar LAN-machinesTerwijl "Filterregels" het WAN-naar-LAN- of internetverkeer regelen, regelen de "Whitelist-regels" van de firewall de toegang tot het beheersysteem van de router. Filterregels blokkeren de toegang tot het apparaat zelf niet; daarvoor gebruikt u whitelists of specifieke regels met betrekking tot inkomend verkeer naar de router.
Om toegang te krijgen tot interne services wordt er een poorttoewijzing gemaakt in NAT. Vervolgens wordt bepaald wie deze toewijzing van buitenaf kan bereiken. Het recept is: open de benodigde poort en beperk deze vervolgens met toegangscontrole. die alleen geautoriseerde bronnen doorlaat en de rest blokkeert.
SSH vanaf vertrouwde IP's op TP-Link SMB (ER6120/ER8411 en vergelijkbaar)
Bij SMB-routers zoals de TL-ER6120 of ER8411 is het gebruikelijke patroon voor het adverteren van een LAN-service (bijvoorbeeld SSH op een interne server) en het beperken ervan op basis van het bron-IP-adres tweefasig. Eerst wordt de poort geopend met een virtuele server (NAT), vervolgens wordt deze gefilterd met Access Control. op basis van IP-groepen en servicetypen.
Fase 1 – Virtuele server: ga naar Geavanceerd → NAT → Virtuele server en maakt een vermelding voor de overeenkomstige WAN-interface. Configureer externe poort 22 en wijs deze toe aan het interne IP-adres van de server (bijvoorbeeld 192.168.0.2:22)Sla de regel op om deze aan de lijst toe te voegen. Als uw situatie een andere poort gebruikt (bijvoorbeeld omdat u SSH hebt gewijzigd naar 2222), pas dan de waarde dienovereenkomstig aan.
Fase 2 – Servicetype: invoeren Voorkeuren → Servicetype, maak een nieuwe service aan met de naam SSH, selecteer TCP of TCP/UDP en definieer de bestemmingspoort 22 (het bronpoortbereik kan 0–65535 zijn). Met deze laag kunt u op een schone manier naar de poort verwijzen in de ACL.
Fase 3 – IP-groep: ga naar Voorkeuren → IP-groep → IP-adres en voeg vermeldingen toe voor zowel de toegestane bron (bijvoorbeeld uw openbare IP of een bereik met de naam "Access_Client") als de bestemmingsbron (bijvoorbeeld "SSH_Server" met het interne IP van de server). Koppel vervolgens elk adres aan de bijbehorende IP-groep binnen hetzelfde menu.
Fase 4 – Toegangscontrole: in Firewall → Toegangscontrole Maak twee regels. 1) Toestaanregel: Toestaanbeleid, nieuw gedefinieerde "SSH"-service, Bron = IP-groep "Access_Client" en bestemming = "SSH_Server"Geef het ID 1. 2) Blokkeringsregel: Blokkeerbeleid met bron = IPGROUP_ANY en bestemming = “SSH_Server” (of indien van toepassing) met ID 2. Op deze manier gaat alleen het vertrouwde IP-adres of bereik via de NAT naar uw SSH; de rest wordt geblokkeerd.
De volgorde van evaluatie is van cruciaal belang. Lagere ID's hebben voorrangDaarom moet de regel 'Toestaan' voorafgaan (met een lagere ID) aan de regel 'Blokkeren'. Na het toepassen van de wijzigingen kunt u verbinding maken met het WAN IP-adres van de router op de gedefinieerde poort vanaf het toegestane IP-adres, maar verbindingen van andere bronnen worden geblokkeerd.
Opmerkingen over model/firmware: De interface kan per hardware en versie verschillen. TL-R600VPN vereist hardware v4 om bepaalde functies te dekkenEn op verschillende systemen kunnen de menu's verplaatst worden. Desalniettemin is de workflow hetzelfde: servicetype → IP-groepen → ACL met Toestaan en Blokkeren. Vergeet niet opslaan en toepassen zodat de regels van kracht kunnen worden.
Aanbevolen verificatie: Probeer vanaf het geautoriseerde IP-adres ssh usuario@IP_WAN en de toegang verifiëren. Vanaf een ander IP-adres zou de poort ontoegankelijk moeten zijn. (verbinding die niet aankomt of wordt afgewezen, idealiter zonder banner om geen aanwijzingen te geven).
ACL met Omada-controller: lijsten, toestanden en voorbeeldscenario's
Als u TP-Link gateways beheert met Omada Controller, is de logica vergelijkbaar, maar met meer visuele opties. Maak groepen (IP of poorten), definieer gateway-ACL's en organiseer de regels om het absolute minimum toe te staan en al het andere te ontkennen.
Lijsten en groepen: in Instellingen → Profielen → Groepen U kunt IP-groepen (subnetten of hosts, zoals 192.168.0.32/27 of 192.168.30.100/32) en ook poortgroepen (bijvoorbeeld HTTP 80 en DNS 53) maken. Deze groepen vereenvoudigen complexe regels door voorwerpen te hergebruiken.
Gateway ACL: aan Configuratie → Netwerkbeveiliging → ACL Voeg regels toe met de richting LAN→WAN, LAN→LAN of WAN→LAN, afhankelijk van wat u wilt beschermen. Het beleid voor elke regel kan Toestaan of Weigeren zijn. en de volgorde bepaalt het uiteindelijke resultaat. Vink "Inschakelen" aan om ze te activeren. In sommige versies kunt u regels voorbereid en uitgeschakeld laten.
Handige gevallen (aanpasbaar aan SSH): sta alleen specifieke services toe en blokkeer de rest (bijv. Sta DNS en HTTP toe en vervolgens Alles weigeren). Voor beheerwhitelists maakt u Toestaan van vertrouwde IP's naar de 'Gatewaybeheerpagina' en vervolgens een algemene weigering van de andere netwerken. Als uw firmware die optie heeft. BidirectioneleU kunt de inverse regel automatisch genereren.
Verbindingsstatus: ACL's kunnen statusafhankelijk zijn. De meest voorkomende typen zijn Nieuw, Gevestigd, Gerelateerd en Ongeldig"New" verwerkt het eerste pakket (bijv. SYN in TCP), "Established" verwerkt eerder aangetroffen bidirectioneel verkeer, "Gerelateerd" verwerkt afhankelijke verbindingen (zoals FTP-datakanalen) en "Invalid" verwerkt afwijkend verkeer. Het is over het algemeen het beste om de standaardinstellingen te behouden, tenzij u extra granulariteit nodig hebt.
VLAN en segmentatie: Omada- en SMB-routers ondersteunen unidirectionele en bidirectionele scenario's tussen VLAN'sU kunt Marketing→R&D blokkeren, maar R&D→Marketing toestaan, of beide richtingen blokkeren en toch een specifieke beheerder autoriseren. De richting LAN→LAN in de ACL wordt gebruikt om het verkeer tussen interne subnetten te beheren.
Extra methoden en versterkingen: TCP Wrappers, iptables, MikroTik en klassieke firewall
Naast de ACL's van de router zijn er nog andere lagen die toegepast moeten worden, vooral als de SSH-bestemming een Linux-server achter de router is. TCP Wrappers maken filteren op IP mogelijk met hosts.allow en hosts.deny op compatibele services (waaronder OpenSSH in veel traditionele configuraties).
Besturingsbestanden: als ze niet bestaan, maak ze dan aan met sudo touch /etc/hosts.{allow,deny}. Beste praktijk: weiger alles in hosts.deny en staat dit expliciet toe in hosts.allow. Bijvoorbeeld: in /etc/hosts.deny pon sshd: ALL en in /etc/hosts.allow voegt sshd: 203.0.113.10, 198.51.100.0/24Alleen deze IP's kunnen de SSH-daemon van de server bereiken.
Aangepaste iptables: Als uw router of server dit toestaat, kunt u regels toevoegen die alleen SSH accepteren van specifieke bronnen. Een typische regel zou zijn:: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT gevolgd door een standaard DROP-beleid of een regel die de rest blokkeert. Op routers met een tabblad Aangepaste regels U kunt deze regels injecteren en toepassen met 'Opslaan en toepassen'.
Aanbevolen werkwijzen in MikroTik (als algemene richtlijn toepasbaar): wijzig de standaardpoorten indien mogelijk, Telnet deactiveren (gebruik alleen SSH), gebruik sterke wachtwoorden of, nog beter, sleutelauthenticatieBeperk de toegang via IP-adres met behulp van de firewall, schakel 2FA in als het apparaat dit ondersteunt en zorg ervoor dat de firmware/routerOS up-to-date is. Schakel WAN-toegang uit als u deze niet nodig hebtHet controleert mislukte pogingen en past indien nodig limieten voor de verbindingssnelheid toe om brute force-aanvallen tegen te gaan.
TP-Link Classic Interface (oudere firmware): Meld u aan bij het paneel met behulp van het LAN IP-adres (standaard 192.168.1.1) en admin/admin-referenties, ga vervolgens naar Beveiliging → FirewallSchakel het IP-filter in en kies ervoor dat niet-gespecificeerde pakketten het gewenste beleid volgen. IP-adresfiltering, druk op "Nieuwe toevoegen" en definieer welke IP's de servicepoort wel of niet kunnen gebruiken op het WAN (voor SSH, 22/tcp). Sla elke stap op. Hiermee kunt u een algemene weigering toepassen en uitzonderingen maken om alleen vertrouwde IP's toe te staan.
Blokkeer specifieke IP's met statische routes
In sommige gevallen is het nuttig om uitgaande e-mail naar specifieke IP's te blokkeren om de stabiliteit van bepaalde services (zoals streaming) te verbeteren. Eén manier om dit op meerdere TP-Link-apparaten te doen, is via statische routing., het creëren van /32 routes die deze bestemmingen vermijden of ze zo sturen dat ze niet door de standaardroute worden verbruikt (ondersteuning varieert per firmware).
Recente modellen: ga naar het tabblad Geavanceerd → Netwerk → Geavanceerde routering → Statische routering en druk op "+ Toevoegen". Voer "Netwerkbestemming" in met het IP-adres dat u wilt blokkeren, "Subnetmasker" 255.255.255.255, "Standaardgateway" de LAN-gateway (meestal 192.168.0.1) en "Interface" LAN. Selecteer "Sta deze toegang toe" en sla opHerhaal dit voor elk doel-IP-adres, afhankelijk van de service die u wilt beheren.
Oudere firmwares: ga naar Geavanceerde routering → Statische routeringslijst, druk op "Nieuwe toevoegen" en vul dezelfde velden in. Routestatus activeren en opslaanNeem contact op met de ondersteuning van uw service om te achterhalen welke IP's u moet behandelen, aangezien deze kunnen veranderen.
Verificatie: Open een terminal of opdrachtprompt en test met ping 8.8.8.8 (of het bestemmings-IP dat u hebt geblokkeerd). Als u "Time-out" of "Bestemmingshost niet bereikbaar" zietDe blokkering werkt. Zo niet, bekijk dan de stappen en start de router opnieuw op om alle tabellen te activeren.
Verificatie, testen en incidentoplossing
Om te controleren of uw SSH-whitelist werkt, kunt u proberen een geautoriseerd IP-adres te gebruiken. ssh usuario@IP_WAN -p 22 (of de poort die u gebruikt) en bevestig de toegang. Vanaf een niet-geautoriseerd IP-adres mag de poort geen service aanbieden.. VS nmap -p 22 IP_WAN om de warme toestand te controleren.
Als iets niet naar behoren reageert, controleer dan de ACL-prioriteit. De regels worden sequentieel verwerkt en degene met de laagste ID wint.Een Weigeren boven uw Toestaan-waarde maakt de whitelist ongeldig. Controleer ook of het "Service Type" naar de juiste poort verwijst en of uw "IP-groepen" de juiste bereiken bevatten.
Bij verdacht gedrag (verbindingsverlies na een tijdje, regels die vanzelf veranderen, LAN-verkeer dat wegvalt) moet u het volgende overwegen: update de firmwareSchakel de services uit die u niet gebruikt (beheer van externe websites/Telnet/SSH), wijzig de inloggegevens, controleer MAC-klonen indien van toepassing en tot slot, Herstel de fabrieksinstellingen en configureer opnieuw met minimale instellingen en een strikte whitelist.
Compatibiliteit, modellen en beschikbaarheidsnotities
De beschikbaarheid van functies (stateful ACL's, profielen, whitelists, PVID-bewerking op poorten, enz.) Het kan afhankelijk zijn van het hardwaremodel en de versieBij sommige apparaten, zoals de TL-R600VPN, zijn bepaalde mogelijkheden pas beschikbaar vanaf versie 4. De gebruikersinterfaces veranderen ook, maar het basisproces blijft hetzelfde: standaard blokkeren, services en groepen definiëren, sta specifieke IP's toe en blokkeer de rest.
Binnen het TP-Link-ecosysteem zijn veel apparaten betrokken bij bedrijfsnetwerken. Modellen die in de documentatie worden genoemd, zijn onder andere: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQonder andere. Houd er rekening mee dat Het aanbod verschilt per regio. en sommige zijn mogelijk niet beschikbaar in uw regio.
Om op de hoogte te blijven, bezoekt u de ondersteuningspagina van uw product, kiest u de juiste hardwareversie en controleert u firmware-opmerkingen en technische specificaties met de nieuwste verbeteringen. Soms breiden updates de firewall, ACL of functies voor extern beheer uit of verfijnen ze.
Sluit de SSH Voor alle IP's, behalve specifieke IP's, geldt dat u onaangename verrassingen voorkomt door ACL's op de juiste manier te organiseren en te begrijpen welk mechanisme elk item bestuurt. Met een standaard weigeringsbeleid, nauwkeurige whitelists en regelmatige verificatieUw TP-Link-router en de services erachter zijn veel beter beschermd, zonder dat u het beheer hoeft op te geven wanneer u dat nodig hebt.
Gepassioneerd door technologie sinds hij klein was. Ik houd ervan om op de hoogte te zijn van de sector en vooral om deze te communiceren. Daarom houd ik mij al jaren bezig met communicatie op technologie- en videogamewebsites. Je kunt mij vinden als ik schrijf over Android, Windows, MacOS, iOS, Nintendo of elk ander gerelateerd onderwerp dat in je opkomt.