- Установите приоритет политики запрета по умолчанию и используйте белые списки для SSH.
- Объединяет NAT + ACL: открывает порт и ограничивает по IP-адресу источника.
- Проверьте с помощью nmap/ping и учтите приоритет правила (ID).
- Укрепите систему с помощью обновлений, SSH-ключей и минимального набора служб.
¿Как ограничить доступ по SSH к маршрутизатору TP-Link только доверенными IP-адресами? Контроль над тем, кто может получить доступ к вашей сети через SSH, — это не прихоть, а важный уровень безопасности. Разрешить доступ только с доверенных IP-адресов Он уменьшает поверхность атаки, замедляет автоматическое сканирование и предотвращает постоянные попытки вторжения из Интернета.
В этом практическом и подробном руководстве вы увидите, как это сделать в различных сценариях с оборудованием TP-Link (SMB и Omada), что следует учитывать при использовании правил ACL и белых списков, а также как убедиться, что все закрыто должным образом. Мы интегрируем дополнительные методы, такие как TCP Wrappers, iptables и передовой опыт. чтобы вы могли обеспечить безопасность своей среды, не оставляя никаких незавершенных дел.
Зачем ограничивать доступ SSH на маршрутизаторах TP-Link
Открытие доступа к SSH в интернете открывает путь для массированных атак и без того любопытных ботов со злонамеренными намерениями. Нередко после сканирования обнаруживается доступ к порту 22 в сети WAN, как это было отмечено в [примерах SSH]. критические сбои в маршрутизаторах TP-Link. Для проверки того, открыт ли порт 22 на вашем публичном IP-адресе, можно использовать простую команду nmap.: выполняет что-то подобное на внешней машине nmap -vvv -p 22 TU_IP_PUBLICA и проверьте, появилось ли сообщение «open ssh».
Даже если вы используете открытые ключи, оставление порта 22 открытым побуждает к дальнейшему исследованию, тестированию других портов и атакам на службы управления. Решение очевидно: запретить по умолчанию и разрешить только с разрешенных IP-адресов или диапазонов.Желательно, чтобы вы сами всё установили и контролировали. Если вам не нужно удалённое управление, полностью отключите его в глобальной сети.
Помимо раскрытия портов существуют ситуации, когда вы можете заподозрить изменение правил или аномальное поведение (например, кабельный модем, который через некоторое время начинает «сбрасывать» исходящий трафик). Если вы заметили, что ping, traceroute или просмотр страниц не проходят через модем, проверьте настройки, прошивку и рассмотрите возможность восстановления заводских настроек. и закройте все, чем не пользуетесь.
Ментальная модель: блокировать по умолчанию и создать белый список
Философия победы проста: политика запрета по умолчанию и явные исключенияНа многих маршрутизаторах TP-Link с расширенным интерфейсом можно настроить политику удаленного входящего трафика Drop-type в брандмауэре, а затем разрешить определенные адреса в белом списке для служб управления.
В системах, в которых включены параметры «Политика удаленного ввода» и «Правила белого списка» (на страницах «Сеть» — «Брандмауэр»), Уберите бренд из политики удаленного входа Добавьте в белый список публичные IP-адреса в формате CIDR XXXX/XX, которые должны быть доступны для доступа к конфигурации или сервисам, таким как SSH/Telnet/HTTP(S). Эти записи можно снабдить кратким описанием, чтобы избежать путаницы в будущем.
Крайне важно понимать разницу между механизмами. Переадресация портов (NAT/DNAT) перенаправляет порты на машины локальной сетиВ то время как «Правила фильтрации» контролируют трафик WAN-LAN или межсетевой трафик, «Правила белого списка» брандмауэра регулируют доступ к системе управления маршрутизатором. Правила фильтрации не блокируют доступ к самому устройству; для этого используются «белые списки» или специальные правила для входящего трафика маршрутизатора.
Для доступа к внутренним сервисам создается сопоставление портов в NAT, после чего ограничивается круг тех, кто может получить доступ к этому сопоставлению извне. Рецепт такой: открыть нужный порт, а затем ограничить его с помощью контроля доступа. который пропускает только авторизованные источники и блокирует все остальное.
SSH с доверенных IP-адресов на TP-Link SMB (ER6120/ER8411 и аналогичные)
В маршрутизаторах SMB, таких как TL-ER6120 или ER8411, обычная схема объявления службы локальной сети (например, SSH на внутреннем сервере) и ее ограничения по исходному IP-адресу является двухфазной. Сначала порт открывается с помощью виртуального сервера (NAT), а затем фильтруется с помощью контроля доступа. на основе групп IP-адресов и типов услуг.
Фаза 1 – Виртуальный сервер: перейти к Дополнительно → NAT → Виртуальный сервер и создает запись для соответствующего интерфейса WAN. Настройте внешний порт 22 и укажите ему внутренний IP-адрес сервера (например, 192.168.0.2:22).Сохраните правило, чтобы добавить его в список. Если в вашем случае используется другой порт (например, вы изменили SSH на 2222), измените значение соответствующим образом.
Фаза 2 – Тип услуги: ввод Настройки → Тип услуги, создайте новую службу, например, SSH, выберите TCP или TCP/UDP и определите порт назначения 22 (диапазон портов источника может быть от 0 до 65535). Этот уровень позволит вам четко ссылаться на порт в ACL..
Фаза 3 – Группа IP: перейти Настройки → Группа IP → IP-адрес и добавьте записи как для разрешенного источника (например, ваш публичный IP-адрес или диапазон с именем «Access_Client»), так и для целевого ресурса (например, «SSH_Server» с внутренним IP-адресом сервера). Затем свяжите каждый адрес с соответствующей ему группой IP. в том же меню.
Фаза 4 – Контроль доступа: в Межсетевой экран → Контроль доступа Создайте два правила. 1) Правило разрешения: политика разрешения, новая определённая служба «SSH». Источник = IP-группа «Access_Client» и назначение = «SSH_Server». Присвойте ему идентификатор 1. 2) Правило блокировки: политика блокировки с источник = IPGROUP_ANY и назначение = "SSH_Server" (или в зависимости от ситуации) с ID 2. Таким образом, только доверенный IP-адрес или диапазон будет проходить через NAT к вашему SSH; остальные будут заблокированы.
Порядок оценки имеет решающее значение. Более низкие идентификаторы имеют приоритетПоэтому правило «Разрешить» должно предшествовать правилу «Блокировать» (с меньшим идентификатором). После применения изменений вы сможете подключаться к WAN-IP-адресу маршрутизатора через заданный порт с разрешённого IP-адреса, но подключения из других источников будут заблокированы.
Примечания к модели/прошивке: Интерфейс может различаться в зависимости от оборудования и версий. Для поддержки определенных функций TL-R600VPN требуется аппаратное обеспечение версии 4.В разных системах меню могут располагаться в разных местах. Тем не менее, схема та же: тип сервиса → IP-группы → ACL с опциями «Разрешить» и «Блокировать». Не забудьте сохранить и применить для вступления правил в силу.
Рекомендуемая проверка: с авторизованного IP-адреса попробуйте ssh usuario@IP_WAN и проверить доступ. С другого IP-адреса порт должен стать недоступным. (соединение, которое не устанавливается или отклоняется, в идеале без баннера, чтобы не давать подсказок).
ACL с контроллером Omada: списки, состояния и примеры сценариев
Если вы управляете шлюзами TP-Link с помощью Omada Controller, логика схожа, но с большим количеством визуальных опций. Создайте группы (IP или порты), определите списки контроля доступа шлюзов и организуйте правила разрешить самый минимум и отрицать все остальное.
Списки и группы: в Настройки → Профили → Группы Вы можете создавать группы IP-адресов (подсети или хосты, например, 192.168.0.32/27 или 192.168.30.100/32), а также группы портов (например, HTTP 80 и DNS 53). Эти группы упрощают сложные правила путем повторного использования объектов.
ACL шлюза: включен Конфигурация → Сетевая безопасность → ACL Добавьте правила с направлением LAN→WAN, LAN→LAN или WAN→LAN в зависимости от того, что вы хотите защитить. Политика для каждого правила может быть «Разрешить» или «Запретить». И порядок определяет фактический результат. Установите флажок «Включить», чтобы активировать их. В некоторых версиях можно оставить правила подготовленными и отключенными.
Полезные случаи (адаптируемые к SSH): разрешить только определенные службы и заблокировать остальные (например, разрешить DNS и HTTP, а затем запретить все). Для управления белыми списками создайте «Разрешить доступ из доверенных IP-адресов на страницу администрирования шлюза». и затем общий запрет на подключение из других сетей. Если в вашей прошивке есть такая возможность. ДвунаправленныйВы можете автоматически сгенерировать обратное правило.
Состояние соединения: списки ACL могут отслеживать состояние. Распространенные типы: «Новый», «Установленный», «Связанный» и «Недействительный».«Новый» обрабатывает первый пакет (например, SYN в TCP), «Установленный» — ранее обнаруженный двусторонний трафик, «Связанный» — зависимые соединения (например, каналы передачи данных FTP), а «Недействительный» — аномальный трафик. Как правило, лучше оставить настройки по умолчанию, если только вам не требуется дополнительная детализация.
VLAN и сегментация: поддержка маршрутизаторов Omada и SMB однонаправленные и двунаправленные сценарии между VLANВы можете заблокировать направление «Маркетинг → Исследования и разработки», но разрешить направление «Исследования и разработки → Маркетинг», или заблокировать оба направления и при этом разрешить доступ определённому администратору. Направление LAN→LAN в списке контроля доступа используется для управления трафиком между внутренними подсетями.
Дополнительные методы и средства защиты: TCP Wrappers, iptables, MikroTik и классический брандмауэр
Помимо списков контроля доступа маршрутизатора, существуют и другие уровни, которые следует применять, особенно если пунктом назначения SSH является сервер Linux за маршрутизатором. TCP Wrappers позволяет фильтровать по IP с помощью hosts.allow и hosts.deny на совместимых сервисах (включая OpenSSH во многих традиционных конфигурациях).
Файлы управления: если их нет, создайте их с помощью sudo touch /etc/hosts.{allow,deny}. Лучшая практика: запретить всё в hosts.deny и явно разрешает это в hosts.allow. Например: /etc/hosts.deny пОН sshd: ALL и /etc/hosts.allow добавляет sshd: 203.0.113.10, 198.51.100.0/24Таким образом, только эти IP-адреса смогут получить доступ к SSH-демону сервера.
Пользовательские iptables: если ваш маршрутизатор или сервер это позволяет, добавьте правила, которые принимают SSH только из определенных источников. Типичное правило:: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT за которым следует политика DROP по умолчанию или правило, блокирующее остальные. На маршрутизаторах с вкладкой Собственные правила Вы можете ввести эти строки и применить их с помощью кнопки «Сохранить и применить».
Лучшие практики в MikroTik (применяются в качестве общего руководства): измените порты по умолчанию, если это возможно, деактивировать Telnet (используйте только SSH), используйте надежные пароли или, еще лучше, аутентификация ключаОграничьте доступ по IP-адресу с помощью брандмауэра, включите 2FA, если устройство ее поддерживает, и регулярно обновляйте прошивку/RouterOS. Отключите доступ к WAN, если он вам не нужен.Он отслеживает неудачные попытки и при необходимости применяет ограничения скорости соединения для сдерживания атак методом подбора пароля.
Классический интерфейс TP-Link (старая прошивка): войдите в панель, используя IP-адрес локальной сети (по умолчанию 192.168.1.1) и учетные данные администратора/администратора, затем перейдите в Безопасность → Межсетевой экранВключите IP-фильтр и выберите, чтобы неопределённые пакеты следовали желаемой политике. Затем, в Фильтрация IP-адресов, нажмите «Добавить новый» и определите какие IP-адреса могут или не могут использовать порт сервиса в WAN (для SSH, 22/tcp). Сохраняйте каждый шаг. Это позволит вам применить общий запрет и создать исключения, разрешающие только доверенные IP-адреса.
Блокировка определенных IP-адресов с помощью статических маршрутов
В некоторых случаях полезно заблокировать исходящий трафик на определенные IP-адреса, чтобы повысить стабильность работы определенных сервисов (например, потокового вещания). Одним из способов сделать это на нескольких устройствах TP-Link является использование статической маршрутизации., создавая маршруты /32, которые избегают достижения этих пунктов назначения или направляют их таким образом, что они не используются маршрутом по умолчанию (поддержка зависит от прошивки).
Последние модели: перейдите на вкладку Дополнительно → Сеть → Расширенная маршрутизация → Статическая маршрутизация и нажмите «+ Добавить». В поле «Сетевое назначение» введите IP-адрес, который нужно заблокировать, в поле «Маска подсети» — 255.255.255.255, в поле «Основной шлюз» — шлюз локальной сети (обычно 192.168.0.1), а в поле «Интерфейс» — локальная сеть. Выберите «Разрешить эту запись» и сохраните.Повторите эти действия для каждого целевого IP-адреса в зависимости от службы, которую вы хотите контролировать.
Более старые прошивки: перейти Расширенная маршрутизация → Статический список маршрутизации, нажмите «Добавить новый» и заполните те же поля. Активировать статус маршрута и сохранитьОбратитесь в службу поддержки вашего сервиса, чтобы узнать, какие IP-адреса следует обрабатывать, поскольку они могут измениться.
Проверка: Откройте терминал или командную строку и проверьте с помощью ping 8.8.8.8 (или заблокированный вами IP-адрес назначения). Если вы видите «Время ожидания» или «Целевой хост недоступен»Блокировка работает. Если нет, проверьте шаги и перезапустите маршрутизатор, чтобы все таблицы вступили в силу.
Проверка, тестирование и разрешение инцидентов
Чтобы проверить работоспособность вашего белого списка SSH, попробуйте использовать авторизованный IP-адрес. ssh usuario@IP_WAN -p 22 (или используемый вами порт) и подтвердите доступ. Порт не должен предоставлять услуги с неавторизованного IP-адреса.. Использует nmap -p 22 IP_WAN для проверки горячего состояния.
Если что-то не отвечает должным образом, проверьте приоритет ACL. Правила обрабатываются последовательно, и побеждают те, у которых самый низкий ID.Значение «Запретить» выше значения «Разрешить» делает белый список недействительным. Также убедитесь, что «Тип службы» указывает на правильный порт, а «Группы IP-адресов» содержат соответствующие диапазоны.
В случае подозрительного поведения (потеря соединения через некоторое время, правила, которые меняются сами по себе, трафик локальной сети, который пропадает) рассмотрите обновить прошивкуОтключите службы, которыми вы не пользуетесь (удалённое веб-/Telnet/SSH-администрирование), измените учетные данные, проверьте клонирование MAC-адресов, если применимо, и, наконец, Восстановите заводские настройки и перенастройте их с минимальными настройками и строгим белым списком..
Совместимость, модели и примечания к доступности
Наличие функций (списки контроля доступа с отслеживанием состояния, профили, белые списки, редактирование PVID на портах и т. д.) Это может зависеть от модели и версии оборудования.В некоторых устройствах, например, TL-R600VPN, некоторые функции доступны только с версии 4 и выше. Пользовательский интерфейс также меняется, но основной процесс остаётся прежним: блокировка по умолчанию, определить услуги и группы, разрешить с определенных IP-адресов и заблокировать остальные.
В экосистеме TP-Link используется множество устройств, используемых в корпоративных сетях. В документации упоминаются следующие модели: T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, Т1700Г-28ТК, Т1500-28ПКТ, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQСреди прочего. Имейте в виду, что Предложение варьируется в зависимости от региона. и некоторые из них могут быть недоступны в вашем регионе.
Чтобы оставаться в курсе событий, посетите страницу поддержки вашего продукта, выберите правильную версию оборудования и проверьте заметки о прошивке и технические характеристики с последними улучшениями. Иногда обновления расширяют или улучшают функции брандмауэра, ACL или удалённого управления.
Закройте SSH Для всех IP-адресов, за исключением определенных, правильная организация списков контроля доступа и понимание того, какой механизм управляет каждой функцией, избавит вас от неприятных сюрпризов. С политикой запрета по умолчанию, точными белыми списками и регулярной проверкойВаш маршрутизатор TP-Link и все службы, которые на нем работают, будут гораздо лучше защищены, без потери возможности управления, когда это необходимо.
Увлекся технологиями с самого детства. Мне нравится быть в курсе событий в отрасли и, прежде всего, сообщать о них. Вот почему я уже много лет занимаюсь общением на веб-сайтах, посвященных технологиям и видеоиграм. Вы можете найти меня пишу об Android, Windows, MacOS, iOS, Nintendo или любой другой связанной теме, которая приходит на ум.