- Prioritizează o politică de refuz implicită și folosește liste albe pentru SSH.
- Combină NAT + ACL: deschide portul și limitează în funcție de IP-ul sursă.
- Verificați cu nmap/ping și respectați prioritatea regulii (ID).
- Consolidați cu actualizări, chei SSH și servicii minime.
¿Cum se restricționează accesul SSH la un router TP-Link la IP-uri de încredere? Controlul cine poate accesa rețeaua ta prin SSH nu este un capriciu, ci un nivel esențial de securitate. Permiteți accesul doar de la adrese IP de încredere Reduce suprafața de atac, încetinește scanările automate și previne tentativele constante de intruziune de pe internet.
În acest ghid practic și cuprinzător, veți vedea cum să faceți acest lucru în diferite scenarii cu echipamente TP-Link (SMB și Omada), ce trebuie să luați în considerare cu regulile ACL și listele albe și cum să verificați dacă totul este închis corect. Integrăm metode suplimentare precum TCP Wrappers, iptables și cele mai bune practici. astfel încât să vă puteți securiza mediul fără a lăsa niciun fir neclar.
De ce să limitezi accesul SSH pe routerele TP-Link
Expunerea SSH la internet deschide calea către scanări masive din partea unor boți deja curioși, cu intenții rău intenționate. Nu este neobișnuit să se detecteze portul 22 accesibil pe WAN după o scanare, așa cum s-a observat în [exemple de SSH]. Defecțiuni critice ale routerelor TP-Link. O comandă simplă nmap poate fi utilizată pentru a verifica dacă adresa IP publică are portul 22 deschis.: execută ceva de genul acesta pe o mașină externă nmap -vvv -p 22 TU_IP_PUBLICA și verificați dacă apare „open ssh”.
Chiar dacă utilizați chei publice, lăsarea portului 22 deschis invită la explorări suplimentare, testarea altor porturi și atacarea serviciilor de administrare. Soluția este clară: refuză în mod implicit și activează doar de la IP-urile sau intervalele permise.De preferință, este fixat și controlat de tine. Dacă nu ai nevoie de administrare de la distanță, dezactivează-l complet pe WAN.
Pe lângă expunerea porturilor, există situații în care ați putea suspecta modificări ale regulilor sau un comportament anormal (de exemplu, un modem de cablu care începe să „abandoneze” traficul de ieșire după un timp). Dacă observați că ping-ul, traceroute-ul sau navigarea nu trec de modem, verificați setările, firmware-ul și luați în considerare restaurarea setărilor din fabrică. și închide tot ce nu folosești.
Model mental: blochează în mod implicit și creează o listă albă
Filosofia câștigătoare este simplă: politica de refuz implicită și excepții explicitePe multe routere TP-Link cu o interfață avansată, puteți seta o politică de acces la distanță de tip Drop în firewall și apoi puteți permite anumite adrese pe o listă albă pentru serviciile de administrare.
Pe sistemele care includ opțiunile „Politică de intrare la distanță” și „Reguli pentru lista albă” (pe paginile Rețea - Firewall), Includeți marca în politica de acces de la distanță Și adăugați la lista albă adresele IP publice în format CIDR XXXX/XX care ar trebui să poată accesa configurația sau serviciile precum SSH/Telnet/HTTP(S). Aceste intrări pot include o scurtă descriere pentru a evita confuziile ulterioare.
Este esențial să înțelegem diferența dintre mecanisme. Redirecționarea porturilor (NAT/DNAT) redirecționează porturile către mașinile LANÎn timp ce „Regulile de filtrare” controlează traficul WAN-LAN sau inter-rețea, „Regulile listei albe” ale firewall-ului guvernează accesul la sistemul de gestionare al routerului. Regulile de filtrare nu blochează accesul la dispozitivul în sine; pentru aceasta, utilizați liste albe sau reguli specifice privind traficul de intrare către router.
Pentru a accesa serviciile interne, maparea porturilor este creată în NAT, iar apoi este limitată cine poate accesa acea mapare din exterior. Rețeta este: deschideți portul necesar și apoi restricționați-l cu controlul accesului. care permite trecerea doar a surselor autorizate și le blochează pe celelalte.
SSH de la IP-uri de încredere pe TP-Link SMB (ER6120/ER8411 și similare)
În routerele SMB, cum ar fi TL-ER6120 sau ER8411, modelul obișnuit pentru promovarea unui serviciu LAN (de exemplu, SSH pe un server intern) și limitarea acestuia prin adresa IP sursă este în două faze. Mai întâi, portul este deschis cu un server virtual (NAT), apoi este filtrat cu controlul accesului. pe baza grupurilor IP și a tipurilor de servicii.
Faza 1 – Server virtual: accesați Avansat → NAT → Server virtual și creează o intrare pentru interfața WAN corespunzătoare. Configurați portul extern 22 și direcționați-l către adresa IP internă a serverului (de exemplu, 192.168.0.2:22)Salvați regula pentru a o adăuga la listă. Dacă în cazul dumneavoastră se utilizează un port diferit (de exemplu, ați modificat SSH la 2222), ajustați valoarea în consecință.
Faza 2 – Tipul serviciului: introduceți Preferințe → Tip serviciu, creați un serviciu nou numit, de exemplu, SSH, selectați TCP sau TCP/UDP și definiți portul de destinație 22 (intervalul portului sursă poate fi 0–65535). Acest strat vă va permite să faceți referire clară la port în ACL..
Faza 3 – Grupul IP: accesați Preferințe → Grup IP → Adresă IP și adăugați intrări atât pentru sursa permisă (de exemplu, adresa IP publică sau un interval numit „Access_Client”), cât și pentru resursa de destinație (de exemplu, „SSH_Server” cu adresa IP internă a serverului). Apoi asociați fiecare adresă cu grupul IP corespunzător în cadrul aceluiași meniu.
Faza 4 – Controlul accesului: în Firewall → Control acces Creați două reguli. 1) Regula de permitere: Politica de permitere, serviciul „SSH” nou definit, Sursă = grup IP „Access_Client” și destinație = „SSH_Server”Dați-i ID-ul 1. 2) Regulă de blocare: Blocați politica cu sursă = IPGROUP_ANY și destinație = „SSH_Server” (sau după caz) cu ID-ul 2. În acest fel, doar adresa IP sau intervalul de încredere va trece prin NAT către SSH-ul dvs.; restul vor fi blocate.
Ordinea evaluării este esențială. ID-urile mai mici au prioritatePrin urmare, regula Permitere trebuie să fie precedată (ID-ul inferior) de regula Blocare. După aplicarea modificărilor, veți putea să vă conectați la adresa IP WAN a routerului pe portul definit de la adresa IP permisă, dar conexiunile din alte surse vor fi blocate.
Note despre model/firmware: Interfața poate varia în funcție de hardware și versiuni. TL-R600VPN necesită hardware versiunea 4 pentru a acoperi anumite funcțiiȘi pe sisteme diferite, meniurile pot fi relocate. Chiar și așa, fluxul este același: tip serviciu → grupuri IP → ACL cu Permitere și Blocare. Nu uitați salvați și aplicați pentru ca regulile să intre în vigoare.
Verificare recomandată: De la adresa IP autorizată, încercați ssh usuario@IP_WAN și verificați accesul. De la o altă adresă IP, portul ar trebui să devină inaccesibil. (conexiune care nu ajunge sau este respinsă, ideal fără banner pentru a evita oferirea de indicii).
ACL cu controler Omada: Liste, stări și exemple de scenarii
Dacă gestionați gateway-uri TP-Link cu Omada Controller, logica este similară, dar cu mai multe opțiuni vizuale. Creați grupuri (IP sau porturi), definiți ACL-uri pentru gateway și organizați regulile să permită strictul necesar și să nege orice altceva.
Liste și grupuri: în Setări → Profiluri → Grupuri Puteți crea grupuri IP (subrețele sau gazde, cum ar fi 192.168.0.32/27 sau 192.168.30.100/32) și, de asemenea, grupuri de porturi (de exemplu, HTTP 80 și DNS 53). Aceste grupuri simplifică regulile complexe prin reutilizarea obiectelor.
ACL-ul Gateway: activat Configurare → Securitate rețea → ACL Adăugați reguli cu direcția LAN→WAN, LAN→LAN sau WAN→LAN, în funcție de ceea ce doriți să protejați. Politica pentru fiecare regulă poate fi Permitere sau Refuzare. iar ordinea determină rezultatul real. Bifați „Activare” pentru a le activa. Unele versiuni vă permit să lăsați regulile pregătite și dezactivate.
Cazuri utile (adaptabile la SSH): permiteți doar anumite servicii și blocați restul (de exemplu, permiteți DNS și HTTP, apoi refuzați tot). Pentru listele albe de administrare, creați Permitere de la IP-uri de încredere în „Pagina de administrare a gateway-ului”. și apoi o respingere generală din partea celorlalte rețele. Dacă firmware-ul dvs. are această opțiune. BidirecționalPuteți genera automat regula inversă.
Starea conexiunii: ACL-urile pot fi cu stare. Tipurile comune sunt Noi, Consacrate, Înrudite și Invalide„Nou” gestionează primul pachet (de exemplu, SYN în TCP), „Constituit” gestionează traficul bidirecțional întâlnit anterior, „Înrudit” gestionează conexiunile dependente (cum ar fi canalele de date FTP), iar „Invalid” gestionează traficul anomal. În general, este recomandat să păstrați setările implicite, cu excepția cazului în care aveți nevoie de o granularitate suplimentară.
VLAN și segmentare: suport pentru routere Omada și SMB scenarii unidirecționale și bidirecționale între VLAN-uriPuteți bloca Marketing→R&D, dar permite R&D→Marketing, sau puteți bloca ambele direcții și totuși autoriza un anumit administrator. Direcția LAN→LAN din ACL este utilizată pentru a controla traficul dintre subrețelele interne.
Metode suplimentare și întăriri: TCP Wrappers, iptables, MikroTik și firewall clasic
Pe lângă ACL-urile routerului, există și alte straturi care ar trebui aplicate, mai ales dacă destinația SSH este un server Linux în spatele routerului. TCP Wrappers permite filtrarea după IP cu hosts.allow și hosts.deny pe servicii compatibile (inclusiv OpenSSH în multe configurații tradiționale).
Fișiere de control: dacă nu există, creați-le cu sudo touch /etc/hosts.{allow,deny}. Cea mai bună practică: refuzați tot ce se află în hosts.deny și permite explicit acest lucru în hosts.allow. De exemplu: în /etc/hosts.deny PON sshd: ALL și /etc/hosts.allow adaugă sshd: 203.0.113.10, 198.51.100.0/24Astfel, doar acele IP-uri vor putea accesa daemonul SSH al serverului.
iptables personalizate: Dacă routerul sau serverul permite acest lucru, adăugați reguli care acceptă SSH doar din anumite surse. O regulă tipică ar fi: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT urmată de o politică DROP implicită sau de o regulă care blochează restul. Pe routerele cu o filă de Reguli personalizate Puteți injecta aceste linii și le puteți aplica cu „Salvare și aplicare”.
Cele mai bune practici în MikroTik (aplicabile ca ghid general): schimbați porturile implicite dacă este posibil, dezactivați Telnet-ul (folosește doar SSH), folosește parole puternice sau, și mai bine, autentificarea cheiiLimitați accesul prin adresa IP folosind firewall-ul, activați 2FA dacă dispozitivul îl acceptă și mențineți firmware-ul/RouterOS-ul actualizat. Dezactivați accesul WAN dacă nu aveți nevoie de elMonitorizează încercările eșuate și, dacă este necesar, aplică limite ale ratei de conectare pentru a reduce atacurile prin forță brută.
Interfața TP-Link Classic (firmware mai vechi): Conectați-vă la panou folosind adresa IP LAN (implicit 192.168.1.1) și acreditările de administrator, apoi accesați Securitate → FirewallActivați filtrul IP și alegeți ca pachetele nespecificate să respecte politica dorită. Apoi, în Filtrarea adreselor IP, apăsați pe „Adăugați nou” și definiți ce IP-uri pot sau nu pot utiliza portul de serviciu pe WAN (pentru SSH, 22/tcp). Salvați fiecare pas. Acest lucru vă permite să aplicați o negare generală și să creați excepții pentru a permite doar IP-uri de încredere.
Blocați IP-uri specifice cu rute statice
În unele cazuri, este util să blocați ieșirile către anumite IP-uri pentru a îmbunătăți stabilitatea anumitor servicii (cum ar fi streamingul). O modalitate de a face acest lucru pe mai multe dispozitive TP-Link este prin rutare statică., creând rute /32 care evită atingerea acelor destinații sau le direcționează astfel încât să nu fie consumate de ruta implicită (suportul variază în funcție de firmware).
Modele recente: accesați fila Avansat → Rețea → Rutare avansată → Rutare statică și apăsați „+ Adăugare”. Introduceți „Destinație rețea” cu adresa IP de blocat, „Mască subrețea” 255.255.255.255, „Gateway implicit” gateway-ul LAN (de obicei 192.168.0.1) și „Interfață” LAN. Selectați „Permiteți această intrare” și salvațiRepetați pentru fiecare adresă IP țintă, în funcție de serviciul pe care doriți să îl controlați.
Firmware-uri mai vechi: accesați Rutare avansată → Listă de rutare statică, apăsați pe „Adăugați nou” și completați aceleași câmpuri. Activează starea rutei și salveazăConsultați asistența serviciului dvs. pentru a afla ce IP-uri să tratați, deoarece acestea se pot schimba.
Verificare: Deschideți un terminal sau o linie de comandă și testați cu ping 8.8.8.8 (sau adresa IP de destinație pe care ați blocat-o). Dacă vedeți mesajul „Timp de așteptare” sau „Gazdă destinație inaccesibilă”Blocarea funcționează. Dacă nu, revedeți pașii și reporniți routerul pentru ca toate tabelele să aibă efect.
Verificare, testare și rezolvare a incidentelor
Pentru a verifica dacă lista albă SSH funcționează, încercați să utilizați o adresă IP autorizată. ssh usuario@IP_WAN -p 22 (sau portul pe care îl utilizați) și confirmați accesul. De la o adresă IP neautorizată, portul nu ar trebui să ofere servicii.. Statele Unite ale Americii nmap -p 22 IP_WAN pentru a verifica starea de fierbinte.
Dacă ceva nu răspunde așa cum ar trebui, verificați prioritatea ACL-ului. Regulile sunt procesate secvențial, iar cele cu cel mai mic ID câștigă.O opțiune Refuzare peste valoarea Permisă invalidează lista albă. De asemenea, verificați dacă „Tipul de serviciu” indică portul corect și dacă „Grupurile IP” conțin intervalele corespunzătoare.
În cazul unui comportament suspect (pierderea conectivității după un timp, reguli care se schimbă singure, trafic LAN care se întrerupe), luați în considerare actualizați firmware-ulDezactivați serviciile pe care nu le utilizați (administrare web/Telnet/SSH la distanță), modificați acreditările, verificați clonarea MAC-ului, dacă este cazul, și, în cele din urmă, Restaurare la setările din fabrică și reconfigurare cu setări minime și o listă albă strictă.
Note privind compatibilitatea, modelele și disponibilitatea
Disponibilitatea funcțiilor (ACL-uri cu stare, profiluri, liste albe, editare PVID pe porturi etc.) Poate depinde de modelul și versiunea hardware-uluiÎn unele dispozitive, cum ar fi TL-R600VPN, anumite funcționalități sunt disponibile doar începând cu versiunea 4. Interfețele utilizator se schimbă și ele, dar procesul de bază este același: blocarea implicită, definiți serviciile și grupurile, permite acces de la anumite IP-uri și blochează restul.
În cadrul ecosistemului TP-Link, există numeroase dispozitive implicate în rețelele întreprinderilor. Printre modelele citate în documentație se numără T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, SG41FTL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700-GTL-52TQ08, T3700G-28TS, TL-SL3452 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQprintre altele. Rețineți că Oferta variază în funcție de regiune. și este posibil ca unele să nu fie disponibile în zona dumneavoastră.
Pentru a rămâne la curent, accesați pagina de asistență a produsului dvs., alegeți versiunea corectă de hardware și verificați Note de firmware și specificații tehnice cu cele mai recente îmbunătățiri. Uneori, actualizările extind sau rafinează funcțiile de firewall, ACL sau administrare la distanță.
Închideți SSH Pentru toate IP-urile, cu excepția anumitor IP-uri, organizarea corectă a ACL-urilor și înțelegerea mecanismului care controlează fiecare lucru vă scutește de surprize neplăcute. Cu o politică implicită de respingere, liste albe precise și verificare regulatăRouterul tău TP-Link și serviciile din spatele acestuia vor fi mult mai bine protejate, fără a renunța la administrare atunci când ai nevoie.
Pasionat de tehnologie de când era mic. Îmi place să fiu la curent în sector și, mai ales, să-l comunic. De aceea mă dedic de mulți ani comunicării pe site-uri de tehnologie și jocuri video. Mă puteți găsi scriind despre Android, Windows, MacOS, iOS, Nintendo sau orice alt subiect conex care vă vine în minte.