- Ustaw priorytet domyślnej polityki odmowy i użyj białych list dla protokołu SSH.
- Łączy NAT + ACL: otwiera port i ogranicza go na podstawie źródłowego adresu IP.
- Sprawdź za pomocą nmap/ping i przestrzegaj priorytetu reguły (ID).
- Wzmocnij za pomocą aktualizacji, kluczy SSH i minimalnej liczby usług.
¿Jak ograniczyć dostęp SSH do routera TP-Link do zaufanych adresów IP? Kontrolowanie, kto może uzyskać dostęp do Twojej sieci poprzez SSH, nie jest kaprysem, lecz podstawową warstwą zabezpieczeń. Zezwalaj na dostęp tylko z zaufanych adresów IP Zmniejsza powierzchnię ataku, spowalnia automatyczne skanowanie i zapobiega ciągłym próbom włamań z Internetu.
W tym praktycznym i kompleksowym przewodniku dowiesz się, jak to zrobić w różnych scenariuszach ze sprzętem TP-Link (SMB i Omada), co wziąć pod uwagę w przypadku reguł ACL i białych list oraz jak sprawdzić, czy wszystko zostało poprawnie zamknięte. Integrujemy dodatkowe metody, takie jak TCP Wrappers, iptables i najlepsze praktyki dzięki czemu możesz zabezpieczyć swoje środowisko, nie zostawiając żadnych niedokończonych spraw.
Dlaczego ograniczać dostęp SSH na routerach TP-Link
Udostępnienie protokołu SSH w internecie otwiera drogę do masowych przeszukań przez ciekawskie boty o złych zamiarach. Nierzadko zdarza się, że po skanowaniu wykryto port 22 dostępny w sieci WAN, jak zaobserwowano w [przykładach protokołu SSH]. krytyczne awarie w routerach TP-Link. Za pomocą prostego polecenia nmap można sprawdzić, czy Twój publiczny adres IP ma otwarty port 22.: wykonuje coś takiego na maszynie zewnętrznej nmap -vvv -p 22 TU_IP_PUBLICA i sprawdź czy pojawi się „open ssh”.
Nawet jeśli używasz kluczy publicznych, pozostawienie portu 22 otwartym zachęca do dalszej eksploracji, testowania innych portów i atakowania usług zarządzania. Rozwiązanie jest jasne: odrzucaj domyślnie i włączaj tylko z dozwolonych adresów IP lub zakresów.Najlepiej, żeby było stałe i kontrolowane przez Ciebie. Jeśli nie potrzebujesz zdalnego zarządzania, wyłącz je całkowicie w sieci WAN.
Oprócz udostępniania portów zdarzają się sytuacje, w których można podejrzewać zmiany reguł lub nietypowe zachowanie (na przykład modem kablowy, który po pewnym czasie zaczyna „odrzucać” ruch wychodzący). Jeśli zauważysz, że polecenia ping, traceroute lub przeglądania nie są przesyłane przez modem, sprawdź ustawienia, oprogramowanie sprzętowe i rozważ przywrócenie ustawień fabrycznych. i zamknij wszystko, czego nie używasz.
Model mentalny: blokowanie domyślne i tworzenie białej listy
Zwycięska filozofia jest prosta: domyślna polityka odmowy i jawne wyjątkiW wielu routerach TP-Link z zaawansowanym interfejsem można ustawić w zaporze zasadę zdalnego dostępu typu Drop, a następnie zezwolić określonym adresom z białej listy na dostęp do usług zarządzania.
W systemach, które obejmują opcje „Zasady zdalnego wprowadzania danych” i „Reguły białej listy” (na stronach Sieć – Zapora sieciowa), Upuść markę w zasadach zdalnego wejścia Dodaj do białej listy publiczne adresy IP w formacie CIDR XXXX/XX, które powinny umożliwiać dostęp do konfiguracji lub usług takich jak SSH/Telnet/HTTP(S). Wpisy te mogą zawierać krótki opis, aby uniknąć późniejszych nieporozumień.
Istotne jest zrozumienie różnicy pomiędzy mechanizmami. Przekierowanie portów (NAT/DNAT) przekierowuje porty do maszyn LANPodczas gdy „Reguły filtrowania” kontrolują ruch WAN-LAN lub międzysieciowy, „Reguły białej listy” zapory sieciowej regulują dostęp do systemu zarządzania routerem. Reguły filtrowania nie blokują dostępu do samego urządzenia; w tym celu używa się białych list lub określonych reguł dotyczących ruchu przychodzącego do routera.
Aby uzyskać dostęp do usług wewnętrznych, w NAT tworzone jest mapowanie portów, a następnie ograniczane są możliwości dostępu do tego mapowania z zewnątrz. Przepis jest następujący: otwórz potrzebny port, a następnie ogranicz go za pomocą kontroli dostępu. który pozwala na przepływ informacji tylko autoryzowanym źródłom i blokuje pozostałe.
SSH z zaufanych adresów IP na TP-Link SMB (ER6120/ER8411 i podobne)
W przypadku routerów SMB, takich jak TL-ER6120 lub ER8411, typowy schemat reklamowania usługi sieci LAN (np. SSH na serwerze wewnętrznym) i ograniczania jej na podstawie źródłowego adresu IP jest dwufazowy. Najpierw port jest otwierany za pomocą serwera wirtualnego (NAT), a następnie filtrowany za pomocą kontroli dostępu. na podstawie grup IP i typów usług.
Faza 1 – Serwer wirtualny: przejdź do Zaawansowane → NAT → Serwer wirtualny i tworzy wpis dla odpowiedniego interfejsu WAN. Skonfiguruj zewnętrzny port 22 i skieruj go na wewnętrzny adres IP serwera (na przykład 192.168.0.2:22)Zapisz regułę, aby dodać ją do listy. Jeśli w Twoim przypadku używany jest inny port (np. zmieniłeś SSH na 2222), dostosuj odpowiednio wartość.
Faza 2 – Typ usługi: wprowadź Preferencje → Typ usługi, utwórz nową usługę o nazwie np. SSH, wybierz TCP lub TCP/UDP i zdefiniuj port docelowy 22 (zakres portów źródłowych może wynosić 0–65535). Ta warstwa umożliwi Ci czyste odwoływanie się do portu na liście kontroli dostępu.
Faza 3 – Grupa IP: przejdź do Preferencje → Grupa IP → Adres IP i dodaj wpisy zarówno dla dozwolonego źródła (np. Twój publiczny adres IP lub zakres o nazwie „Access_Client”), jak i zasobu docelowego (np. „SSH_Server” z wewnętrznym adresem IP serwera). Następnie powiąż każdy adres z odpowiadającą mu grupą adresów IP w tym samym menu.
Faza 4 – Kontrola dostępu: w Zapora sieciowa → Kontrola dostępu Utwórz dwie reguły. 1) Reguła zezwalająca: polityka zezwalająca na nowo zdefiniowaną usługę „SSH”, Źródło = grupa IP „Access_Client” i miejsce docelowe = „SSH_Server”. Podaj ID 1. 2) Reguła blokowania: Polityka blokowania z źródło = IPGROUP_ANY i miejsce docelowe = „SSH_Server” (lub w stosownych przypadkach) z ID 2. W ten sposób przez NAT do SSH przejdzie tylko zaufany adres IP lub zakres; reszta zostanie zablokowana.
Kolejność oceny ma kluczowe znaczenie. Niższe identyfikatory mają priorytetW związku z tym reguła „Zezwalaj” musi poprzedzać (niższy identyfikator) regułę „Blokuj”. Po zastosowaniu zmian będzie można połączyć się z adresem IP WAN routera na zdefiniowanym porcie z dozwolonego adresu IP, ale połączenia z innych źródeł będą blokowane.
Uwagi dotyczące modelu/oprogramowania sprzętowego: Interfejs może się różnić w zależności od sprzętu i wersji. Do obsługi niektórych funkcji TL-R600VPN wymagany jest sprzęt w wersji 4W różnych systemach menu mogą być przenoszone. Mimo to, schemat jest taki sam: typ usługi → grupy IP → lista kontroli dostępu z opcjami „Zezwól” i „Blokuj”. Nie zapomnij zapisz i zastosuj aby zasady weszły w życie.
Zalecana weryfikacja: Z autoryzowanego adresu IP spróbuj ssh usuario@IP_WAN i zweryfikuj dostęp. Z innego adresu IP port powinien stać się niedostępny. (połączenie, które nie dociera lub zostaje odrzucone, najlepiej bez baneru, aby nie dawać żadnych wskazówek).
ACL z kontrolerem Omada: listy, stany i przykładowe scenariusze
Jeśli zarządzasz bramkami TP-Link za pomocą kontrolera Omada, logika jest podobna, ale z większą ilością opcji wizualnych. Utwórz grupy (adresy IP lub porty), zdefiniuj listy kontroli dostępu bram i zorganizuj reguły pozwolić na absolutne minimum i odmówić wszystkiego innego.
Listy i grupy: w Ustawienia → Profile → Grupy Możesz tworzyć grupy adresów IP (podsieci lub hosty, takie jak 192.168.0.32/27 lub 192.168.30.100/32), a także grupy portów (na przykład HTTP 80 i DNS 53). Grupy te upraszczają złożone zasady poprzez ponowne wykorzystanie obiektów.
Lista kontroli dostępu bramy: włączona Konfiguracja → Bezpieczeństwo sieci → ACL Dodaj reguły z kierunkiem LAN→WAN, LAN→LAN lub WAN→LAN, w zależności od tego, co chcesz chronić. Zasady dla każdej reguły mogą być Zezwalaj lub Odmów. a kolejność określa rzeczywisty wynik. Zaznacz „Włącz”, aby je aktywować. Niektóre wersje pozwalają pozostawić reguły przygotowane i wyłączone.
Przydatne przypadki (dostosowane do protokołu SSH): zezwalanie tylko na wybrane usługi i blokowanie reszty (np. zezwalanie na DNS i HTTP, a następnie blokowanie wszystkich). W przypadku białych list zarządzania utwórz opcję Zezwalaj z zaufanych adresów IP na „Stronę administracyjną bramy” a następnie ogólne zablokowanie dostępu z innych sieci. Jeśli oprogramowanie układowe ma taką opcję. DwukierunkowyMożna automatycznie wygenerować regułę odwrotną.
Status połączenia: listy ACL mogą być stanowe. Typowe typy to: Nowy, Utworzony, Powiązany i Nieprawidłowy„Nowy” obsługuje pierwszy pakiet (np. SYN w TCP), „Ustanowiony” obsługuje wcześniej napotkany ruch dwukierunkowy, „Powiązany” obsługuje połączenia zależne (takie jak kanały danych FTP), a „Nieprawidłowy” obsługuje ruch nietypowy. Zazwyczaj najlepiej jest zachować ustawienia domyślne, chyba że potrzebujesz dodatkowej szczegółowości.
VLAN i segmentacja: obsługa routerów Omada i SMB scenariusze jednokierunkowe i dwukierunkowe między sieciami VLANMożesz zablokować Marketing→R&D, ale zezwolić na R&D→Marketing lub zablokować oba kierunki, nadal autoryzując konkretnego administratora. Kierunek LAN→LAN na liście kontroli dostępu (ACL) służy do kontrolowania ruchu między podsieciami wewnętrznymi.
Dodatkowe metody i wzmocnienia: TCP Wrappers, iptables, MikroTik i klasyczna zapora sieciowa
Oprócz list kontroli dostępu routera istnieją inne warstwy, które należy zastosować, zwłaszcza jeśli miejscem docelowym SSH jest serwer Linux znajdujący się za routerem. TCP Wrappers umożliwia filtrowanie według adresu IP za pomocą hosts.allow i hosts.deny na zgodnych usługach (w tym OpenSSH w wielu tradycyjnych konfiguracjach).
Pliki kontrolne: jeśli nie istnieją, utwórz je za pomocą sudo touch /etc/hosts.{allow,deny}. Najlepsza praktyka: odrzucaj wszystko w pliku hosts.deny i wyraźnie zezwala na to w hosts.allow. Na przykład: w /etc/hosts.deny pon sshd: ALL i /etc/hosts.allow dodaj sshd: 203.0.113.10, 198.51.100.0/24W związku z tym tylko te adresy IP będą mogły nawiązać połączenie z demonem SSH serwera.
Niestandardowe iptables: jeśli Twój router lub serwer na to pozwala, dodaj reguły akceptujące SSH tylko z określonych źródeł. Typowa zasada byłaby taka:: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT po której następuje domyślna polityka DROP lub reguła blokująca resztę. Na routerach z kartą Zasady niestandardowe Możesz wstrzyknąć te linie i zastosować je za pomocą opcji „Zapisz i zastosuj”.
Najlepsze praktyki w MikroTiku (stanowiące ogólny przewodnik): zmień domyślne porty, jeśli to możliwe, dezaktywuj Telnet (używaj tylko SSH), stosuj silne hasła lub, co jeszcze lepsze, uwierzytelnianie kluczemOgranicz dostęp według adresu IP za pomocą zapory sieciowej, włącz uwierzytelnianie dwuskładnikowe (2FA), jeśli urządzenie je obsługuje, i aktualizuj oprogramowanie sprzętowe/RouterOS. Wyłącz dostęp do sieci WAN, jeśli go nie potrzebujeszMonitoruje nieudane próby i w razie potrzeby stosuje limity szybkości połączeń, aby ograniczyć ataki siłowe.
Interfejs klasyczny TP-Link (starsze oprogramowanie): Zaloguj się do panelu, używając adresu IP sieci LAN (domyślnie 192.168.1.1) i danych logowania administratora/admin, a następnie przejdź do Bezpieczeństwo → Zapora sieciowaWłącz filtr IP i wybierz opcję, aby nieokreślone pakiety podlegały żądanej polityce. Następnie w Filtrowanie adresów IP, naciśnij „Dodaj nowy” i zdefiniuj które adresy IP mogą lub nie mogą korzystać z portu usługi w sieci WAN (dla SSH, 22/tcp). Zapisz każdy krok. Dzięki temu możesz zastosować ogólną blokadę i utworzyć wyjątki, aby zezwalać tylko na zaufane adresy IP.
Blokuj określone adresy IP za pomocą tras statycznych
W niektórych przypadkach przydatne jest zablokowanie połączeń wychodzących na określone adresy IP w celu zwiększenia stabilności niektórych usług (np. przesyłania strumieniowego). Jednym ze sposobów realizacji tego celu na wielu urządzeniach TP-Link jest zastosowanie routingu statycznego., tworząc trasy /32, które omijają te miejsca docelowe lub kierują je w taki sposób, że nie są wykorzystywane przez trasę domyślną (wsparcie różni się w zależności od oprogramowania sprzętowego).
Najnowsze modele: przejdź do zakładki Zaawansowane → Sieć → Zaawansowane routowanie → Routowanie statyczne i naciśnij „+ Dodaj”. Wpisz „Miejsce docelowe sieci” z adresem IP do zablokowania, „Maskę podsieci” 255.255.255.255, „Bramę domyślną” – bramę LAN (zwykle 192.168.0.1) i „Interfejs” LAN. Wybierz „Zezwól na ten wpis” i zapiszPowtórz tę czynność dla każdego adresu IP docelowego, zależnie od usługi, którą chcesz kontrolować.
Starsze wersje oprogramowania: przejdź do Zaawansowane routowanie → Lista trasowania statycznego, naciśnij „Dodaj nowy” i wypełnij te same pola. Aktywuj status trasy i zapiszAby dowiedzieć się, które adresy IP należy traktować jako podlegające zmianom, należy skontaktować się z działem pomocy technicznej danej usługi.
Weryfikacja: Otwórz terminal lub wiersz poleceń i przetestuj za pomocą ping 8.8.8.8 (lub adres IP docelowy, który zablokowałeś). Jeśli widzisz komunikat „Przekroczono limit czasu” lub „Host docelowy jest niedostępny”Blokowanie działa. Jeśli nie, sprawdź kroki i uruchom ponownie router, aby wszystkie tabele zostały uwzględnione.
Weryfikacja, testowanie i rozwiązywanie incydentów
Aby sprawdzić, czy biała lista SSH działa, spróbuj użyć autoryzowanego adresu IP. ssh usuario@IP_WAN -p 22 (lub port, którego używasz) i potwierdź dostęp. Z nieautoryzowanego adresu IP port nie powinien oferować usługi.. USA nmap -p 22 IP_WAN aby sprawdzić stan gorący.
Jeśli coś nie odpowiada prawidłowo, sprawdź priorytet listy ACL. Zasady są przetwarzane sekwencyjnie, a wygrywają te, które mają najniższy identyfikator.Opcja „Odmów” powyżej opcji „Zezwól” unieważnia białą listę. Sprawdź również, czy „Typ usługi” wskazuje na właściwy port i czy „Grupy adresów IP” zawierają odpowiednie zakresy.
W przypadku podejrzanego zachowania (utrata łączności po pewnym czasie, samoistna zmiana reguł, spadek ruchu w sieci LAN) należy rozważyć zaktualizuj oprogramowanie wewnętrzneWyłącz usługi, z których nie korzystasz (zdalne administrowanie siecią/Telnetem/SSH), zmień dane uwierzytelniające, sprawdź klonowanie adresu MAC, jeśli jest to możliwe, i ostatecznie, Przywróć ustawienia fabryczne i skonfiguruj ponownie, używając minimalnych ustawień i ścisłej białej listy.
Notatki dotyczące zgodności, modeli i dostępności
Dostępność funkcji (listy kontroli dostępu z uwzględnieniem stanu, profile, białe listy, edycja PVID na portach itp.) Może to zależeć od modelu i wersji sprzętuW niektórych urządzeniach, takich jak TL-R600VPN, niektóre funkcje są dostępne dopiero od wersji 4. Interfejsy użytkownika również ulegają zmianie, ale podstawowy proces pozostaje ten sam: blokowanie domyślne, zdefiniuj usługi i grupy, zezwolić na dostęp z określonych adresów IP i zablokować resztę.
W ekosystemie TP-Link istnieje wiele urządzeń zaangażowanych w sieci korporacyjne. Modele wymienione w dokumentacji obejmują: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQmiędzy innymi. Pamiętaj, że Oferta różni się w zależności od regionu. a niektóre z nich mogą być niedostępne w Twojej okolicy.
Aby być na bieżąco, odwiedź stronę pomocy technicznej swojego produktu, wybierz odpowiednią wersję sprzętu i sprawdź notatki dotyczące oprogramowania sprzętowego i specyfikacje techniczne z najnowszymi ulepszeniami. Czasami aktualizacje rozszerzają lub udoskonalają funkcje zapory sieciowej, listy kontroli dostępu (ACL) lub zdalnego zarządzania.
Zamknij SSH W przypadku wszystkich adresów IP, z wyjątkiem określonych, prawidłowa organizacja list kontroli dostępu (ACL) i zrozumienie mechanizmu kontrolującego każdy element może uchronić Cię przed nieprzyjemnymi niespodziankami. Dzięki domyślnej polityce odrzucania, precyzyjnym białym listom i regularnej weryfikacjiTwój router TP-Link i usługi, z którymi się łączy, będą o wiele lepiej chronione, bez konieczności rezygnowania z zarządzania, gdy będzie to potrzebne.
Od najmłodszych lat pasjonat technologii. Uwielbiam być na bieżąco w branży i przede wszystkim ją komunikować. Dlatego od wielu lat zajmuję się komunikacją w serwisach poświęconych technologii i grom wideo. Możesz znaleźć mnie piszącego o Androidzie, Windowsie, MacOS, iOS, Nintendo lub jakimkolwiek innym pokrewnym temacie, który przyjdzie Ci do głowy.