- Jepni përparësi një politike të parazgjedhur të mohimit dhe përdorni lista të bardha për SSH.
- Kombinon NAT + ACL: hap portin dhe kufizon sipas IP-së së burimit.
- Verifikoni me nmap/ping dhe respektoni përparësinë e rregullit (ID).
- Përforcojeni me përditësime, çelësa SSH dhe shërbime minimale.
¿Si ta kufizoni aksesin SSH në një router TP-Link në IP-të e besueshme? Kontrollimi i atyre që mund të hyjnë në rrjetin tuaj nëpërmjet SSH nuk është një tekë, por një shtresë thelbësore sigurie. Lejo qasje vetëm nga adresat IP të besueshme Zvogëlon sipërfaqen e sulmit, ngadalëson skanimet automatike dhe parandalon përpjekjet e vazhdueshme të ndërhyrjes nga interneti.
Në këtë udhëzues praktik dhe gjithëpërfshirës do të shihni se si ta bëni këtë në skenarë të ndryshëm me pajisjet TP-Link (SMB dhe Omada), çfarë duhet të merrni në konsideratë me rregullat dhe listat e bardha të ACL, dhe si të verifikoni që gjithçka është mbyllur siç duhet. Ne integrojmë metoda shtesë si TCP Wrappers, iptables dhe praktikat më të mira. kështu që mund ta siguroni mjedisin tuaj pa lënë asnjë hapësirë të paqartë.
Pse të kufizoni aksesin SSH në routerat TP-Link
Ekspozimi i SSH ndaj internetit hap derën për spastrime masive nga bote tashmë kuriozë me qëllime dashakeqe. Nuk është e pazakontë të zbulohet porta 22 e arritshme në WAN pas një skanimi, siç është vërejtur në [shembuj të SSH]. Dështime kritike në routerët TP-Link. Një komandë e thjeshtë nmap mund të përdoret për të kontrolluar nëse adresa juaj publike IP ka portin 22 të hapur.: ekzekuton diçka të tillë në një makinë të jashtme nmap -vvv -p 22 TU_IP_PUBLICA dhe kontrolloni nëse shfaqet "open ssh".
Edhe nëse përdorni çelësa publikë, lënia e hapur e portit 22 fton në eksplorim të mëtejshëm, testimin e porteve të tjera dhe sulmimin e shërbimeve të menaxhimit. Zgjidhja është e qartë: moho si parazgjedhje dhe aktivizo vetëm nga IP-të ose diapazonet e lejuara.Mundësisht të rregullohet dhe kontrollohet nga ju. Nëse nuk keni nevojë për menaxhim në distancë, çaktivizoni atë plotësisht në WAN.
Përveç ekspozimit të portave, ka situata ku mund të dyshoni për ndryshime rregullash ose sjellje anormale (për shembull, një modem kabllor që fillon të "heqë" trafikun dalës pas një kohe). Nëse vini re se ping-u, traceroute-i ose shfletimi nuk po kalojnë modemin, kontrolloni cilësimet, firmware-in dhe merrni në konsideratë rivendosjen e cilësimeve të fabrikës. dhe mbyllni gjithçka që nuk përdorni.
Modeli mendor: blloko si parazgjedhje dhe krijo një listë të bardhë
Filozofia e fitores është e thjeshtë: politika e mohimit të parazgjedhur dhe përjashtimet e qartaNë shumë ruterë TP-Link me një ndërfaqe të përparuar, mund të caktoni një politikë hyrjeje në distancë të tipit Drop në firewall dhe më pas të lejoni adresa specifike në një listë të bardhë për shërbimet e menaxhimit.
Në sistemet që përfshijnë opsionet "Politika e Futjes në Distancë" dhe "Rregullat e Listës së Bardhë" (në faqet e Rrjetit - Firewall), Hiqni markën në politikën e hyrjes në distancë Dhe shtoni në listën e bardhë IP-të publike në formatin CIDR XXXX/XX që duhet të jenë në gjendje të arrijnë konfigurimin ose shërbimet si SSH/Telnet/HTTP(S). Këto hyrje mund të përfshijnë një përshkrim të shkurtër për të shmangur konfuzionin më vonë.
Është e rëndësishme të kuptohet ndryshimi midis mekanizmave. Përcjellja e portave (NAT/DNAT) ridrejton portet në makinat LANNdërsa "Rregullat e filtrimit" kontrollojnë trafikun WAN-to-LAN ose trafikun ndër-rrjetor, "rregullat e listës së bardhë" të firewall-it rregullojnë aksesin në sistemin e menaxhimit të routerit. Rregullat e filtrimit nuk bllokojnë aksesin në vetë pajisjen; për këtë, ju përdorni lista të bardha ose rregulla specifike në lidhje me trafikun hyrës në router.
Për të aksesuar shërbimet e brendshme, hartëzimi i porteve krijohet në NAT dhe më pas kufizohet kush mund ta arrijë atë hartëzim nga jashtë. Receta është: hapni portin e nevojshëm dhe më pas kufizojeni atë me kontrollin e aksesit. që lejon vetëm burimet e autorizuara të kalojnë dhe bllokon pjesën tjetër.
SSH nga IP-të e besuara në TP-Link SMB (ER6120/ER8411 dhe të ngjashme)
Në routerat SMB si TL-ER6120 ose ER8411, modeli i zakonshëm për reklamimin e një shërbimi LAN (p.sh., SSH në një server të brendshëm) dhe kufizimin e tij nga IP-ja burimore është dyfazor. Së pari, porta hapet me një Server Virtual (NAT) dhe më pas filtrohet me Kontrollin e Qasjes. bazuar në grupet IP dhe llojet e shërbimeve.
Faza 1 – Serveri Virtual: shkoni te Të Avancuara → NAT → Server Virtual dhe krijon një hyrje për ndërfaqen përkatëse WAN. Konfiguroni portin e jashtëm 22 dhe drejtojeni atë në adresën IP të brendshme të serverit (për shembull, 192.168.0.2:22)Ruaj rregullin për ta shtuar në listë. Nëse rasti juaj përdor një port të ndryshëm (p.sh., e keni ndryshuar SSH në 2222), rregulloni vlerën në përputhje me rrethanat.
Faza 2 – Lloji i shërbimit: futni Preferencat → Lloji i Shërbimit, krijoni një shërbim të ri të quajtur, për shembull, SSH, zgjidhni TCP ose TCP/UDP dhe përcaktoni portin e destinacionit 22 (diapazoni i portit burimor mund të jetë 0–65535). Kjo shtresë do t'ju lejojë të referoheni portin në mënyrë të pastër në ACL..
Faza 3 – Grupi i Pronësisë Intelektuale: shkoni te Preferencat → Grupi IP → Adresa IP dhe shtoni hyrje si për burimin e lejuar (p.sh. IP-në tuaj publike ose një diapazon, të quajtur "Access_Client") ashtu edhe për burimin e destinacionit (p.sh. "SSH_Server" me IP-në e brendshme të serverit). Pastaj shoqëroni secilën adresë me grupin e saj IP përkatës. brenda të njëjtës menu.
Faza 4 – Kontrolli i aksesit: në Firewall → Kontroll i Qasjes Krijo dy rregulla. 1) Rregulli i Lejimit: Politika e Lejimit, shërbimi "SSH" i sapopërcaktuar, Burimi = grupi IP "Access_Client" dhe destinacioni = "SSH_Server"Jepini ID-në 1. 2) Rregulli i bllokimit: Politika e bllokimit me burimi = IPGROUP_ANY dhe destinacioni = "SSH_Server" (ose sipas rastit) me ID 2. Në këtë mënyrë, vetëm IP-ja ose diapazoni i besuar do të kalojë përmes NAT-it në SSH-në tuaj; pjesa tjetër do të bllokohet.
Rendi i vlerësimit është thelbësor. ID-të më të ulëta kanë përparësiPrandaj, rregulli Lejo duhet t'i paraprijë (ID më të ulët) rregullit Blloko. Pas zbatimit të ndryshimeve, do të jeni në gjendje të lidheni me adresën IP WAN të routerit në portin e përcaktuar nga adresa IP e lejuar, por lidhjet nga burime të tjera do të bllokohen.
Shënime për modelin/firmware-in: Ndërfaqja mund të ndryshojë në varësi të harduerit dhe versioneve. TL-R600VPN kërkon harduer v4 për të mbuluar funksione të caktuara.Dhe në sisteme të ndryshme, menutë mund të zhvendosen. Megjithatë, rrjedha është e njëjtë: lloji i shërbimit → grupet IP → ACL me Lejo dhe Blloko. Mos harroni ruajeni dhe aplikoni që rregullat të hyjnë në fuqi.
Verifikimi i rekomanduar: Nga adresa IP e autorizuar, provoni ssh usuario@IP_WAN dhe verifikoni qasjen. Nga një adresë tjetër IP, porti duhet të bëhet i paarritshëm. (lidhje që nuk arrin ose refuzohet, idealisht pa një banderolë për të shmangur dhënien e të dhënave).
ACL me Kontrolluesin Omada: Listat, Gjendjet dhe Skenarët Shembuj
Nëse menaxhoni portat TP-Link me Omada Controller, logjika është e ngjashme, por me më shumë opsione vizuale. Krijo grupe (IP ose porta), përcakto ACL-të e portës hyrëse dhe organizo rregullat të lejosh minimumin e domosdoshëm dhe të mohosh gjithçka tjetër.
Listat dhe grupet: në Cilësimet → Profilet → Grupet Mund të krijoni grupe IP (nënrrjete ose hostë, si p.sh. 192.168.0.32/27 ose 192.168.30.100/32) dhe gjithashtu grupe portash (për shembull, HTTP 80 dhe DNS 53). Këto grupe thjeshtojnë rregullat komplekse duke ripërdorur objektet.
ACL e portës: aktiv Konfigurimi → Siguria e Rrjetit → ACL Shtoni rregulla me drejtimin LAN→WAN, LAN→LAN ose WAN→LAN në varësi të asaj që dëshironi të mbroni. Politika për secilin rregull mund të jetë Lejo ose Refuzo. dhe rendi përcakton rezultatin aktual. Zgjidhni "Aktivizo" për t'i aktivizuar ato. Disa versione ju lejojnë të lini rregullat të përgatitura dhe të çaktivizuara.
Raste të dobishme (të adaptueshme në SSH): lejoni vetëm shërbime specifike dhe bllokoni pjesën tjetër (p.sh., Lejoni DNS dhe HTTP dhe pastaj Mohoni të Gjitha). Për listat e bardha të menaxhimit, krijoni Lejo nga IP-të e Besuara në "Faqja e Administrimit të Portës" dhe pastaj një mohim i përgjithshëm nga rrjetet e tjera. Nëse firmware-i juaj e ka këtë opsion. BidirekcionaleJu mund të gjeneroni automatikisht rregullin invers.
Statusi i lidhjes: ACL-të mund të jenë me gjendje stateful. Llojet e zakonshme janë të reja, të themeluara, të lidhura dhe të pavlefshme"E re" trajton paketën e parë (p.sh., SYN në TCP), "E vendosur" trajton trafikun dypalësh të hasur më parë, "E lidhur" trajton lidhjet e varura (siç janë kanalet e të dhënave FTP) dhe "E pavlefshme" trajton trafikun jonormal. Në përgjithësi është më mirë të ruani cilësimet fillestare, përveç nëse keni nevojë për detaje shtesë.
VLAN dhe segmentimi: Mbështetje për routerët Omada dhe SMB skenarë unidirektivë dhe bidirektivë midis VLAN-veMund të bllokoni Marketing→R&D, por të lejoni R&D→Marketing, ose të bllokoni të dyja drejtimet dhe prapë të autorizoni një administrator specifik. Drejtimi LAN→LAN në ACL përdoret për të kontrolluar trafikun midis nënrrjeteve të brendshme.
Metoda dhe përforcime shtesë: Mbështjellës TCP, iptables, MikroTik dhe firewall klasik
Përveç ACL-ve të routerit, ka edhe shtresa të tjera që duhet të aplikohen, veçanërisht nëse destinacioni SSH është një server Linux pas routerit. Mbështjellësit TCP lejojnë filtrimin sipas IP-së me hosts.allow dhe hosts.deny në shërbime të pajtueshme (duke përfshirë OpenSSH në shumë konfigurime tradicionale).
Kontrolloni skedarët: nëse nuk ekzistojnë, krijojini ato me sudo touch /etc/hosts.{allow,deny}. Praktika më e mirë: moho gjithçka në hosts.deny dhe e lejon atë në mënyrë të qartë në hosts.allow. Për shembull: në /etc/hosts.deny Pon sshd: ALL dhe /etc/hosts.allow shton sshd: 203.0.113.10, 198.51.100.0/24Kështu, vetëm ato IP do të jenë në gjendje të arrijnë demonin SSH të serverit.
iptables të personalizuara: Nëse routeri ose serveri juaj e lejon, shtoni rregulla që pranojnë vetëm SSH nga burime specifike. Një rregull tipik do të ishte: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT e ndjekur nga një politikë DROP e parazgjedhur ose një rregull që bllokon pjesën tjetër. Në routerat me një skedë të Rregulla të personalizuara Mund t’i injektoni këto rreshta dhe t’i aplikoni me “Ruaj dhe Zbato”.
Praktikat më të mira në MikroTik (të zbatueshme si udhëzues i përgjithshëm): ndryshoni portet e parazgjedhura nëse është e mundur, çaktivizo Telnet (përdorni vetëm SSH), përdorni fjalëkalime të forta ose, akoma më mirë, vërtetimi me çelësKufizoni aksesin sipas adresës IP duke përdorur firewall-in, aktivizoni 2FA nëse pajisja e mbështet atë dhe mbajeni firmware-in/RouterOS të përditësuar. Çaktivizoni aksesin në WAN nëse nuk keni nevojë për tëMonitoron përpjekjet e dështuara dhe, nëse është e nevojshme, zbaton kufizime të shkallës së lidhjes për të frenuar sulmet me forcë brutale.
Ndërfaqja Klasike TP-Link (Firmware i Vjetër): Hyni në panel duke përdorur adresën IP të LAN-it (parazgjedhur 192.168.1.1) dhe kredencialet e administratorit/administratorit, pastaj shkoni te Siguria → FirewallAktivizoni filtrin IP dhe zgjidhni që paketat e paspecifikuara të ndjekin politikën e dëshiruar. Pastaj, në Filtrimi i Adresës IP, shtypni "Shto të re" dhe përcaktoni Cilat IP mund ose nuk mund të përdorin portin e shërbimit në WAN (për SSH, 22/tcp). Ruaj çdo hap. Kjo ju lejon të aplikoni një mohim të përgjithshëm dhe të krijoni përjashtime për të lejuar vetëm IP-të e besuara.
Blloko IP-të specifike me rrugë statike
Në disa raste është e dobishme të bllokohen dërgesat në IP specifike për të përmirësuar stabilitetin me shërbime të caktuara (siç është transmetimi). Një mënyrë për ta bërë këtë në pajisje të shumta TP-Link është përmes rrugëzimit statik., duke krijuar rrugë /32 që shmangin arritjen e atyre destinacioneve ose i drejtojnë ato në një mënyrë të tillë që të mos konsumohen nga rruga e parazgjedhur (mbështetja ndryshon në varësi të firmware-it).
Modelet e fundit: shkoni te skeda I Avancuar → Rrjet → Rrugëtim i Avancuar → Rrugëtim Statik dhe shtypni "+ Shto". Shkruani "Destinacioni i Rrjetit" me adresën IP që dëshironi të bllokoni, "Maska e Nënrrjetit" 255.255.255.255, "Porta e Paracaktuar" porta e LAN-it (zakonisht 192.168.0.1) dhe "Ndërfaqja" LAN. Zgjidhni "Lejo këtë hyrje" dhe ruajeniPërsëriteni për secilën adresë IP të synuar në varësi të shërbimit që dëshironi të kontrolloni.
Firmware-et më të vjetra: shkoni te Rrugëtim i avancuar → Listë rrugëtimi statike, shtypni "Shto të re" dhe plotësoni të njëjtat fusha. Aktivizoni statusin e itinerarit dhe ruajeniKonsultohuni me mbështetjen e shërbimit tuaj për të zbuluar se cilat IP duhet të trajtoni, pasi këto mund të ndryshojnë.
Verifikimi: Hapni një terminal ose një komandë të shpejtë dhe testoni me ping 8.8.8.8 (ose adresa IP e destinacionit që keni bllokuar). Nëse shihni "Timeout" ose "Destination host unreachable" (Host i destinacionit i paarritshëm)Bllokimi po funksionon. Nëse jo, rishikoni hapat dhe rinisni routerin që të gjitha tabelat të hyjnë në fuqi.
Verifikimi, testimi dhe zgjidhja e incidenteve
Për të verifikuar që lista juaj e bardhë SSH po funksionon, provoni të përdorni një adresë IP të autorizuar. ssh usuario@IP_WAN -p 22 (ose porta që përdorni) dhe konfirmoni qasjen. Nga një adresë IP e paautorizuar, porti nuk duhet të ofrojë shërbim.. SHBA nmap -p 22 IP_WAN për të kontrolluar gjendjen e nxehtë.
Nëse diçka nuk po përgjigjet siç duhet, kontrolloni përparësinë e ACL-së. Rregullat përpunohen në mënyrë sekuenciale, dhe ato me ID-në më të ulët fitojnë.Një "Mohim" mbi "Lejo"-n tuaj e bën listën e bardhë të pavlefshme. Gjithashtu, kontrolloni që "Lloji i Shërbimit" të tregojë portin e saktë dhe që "Grupet IP" tuaja të përmbajnë diapazonet e duhura.
Në rast të sjelljes së dyshimtë (humbje e lidhjes pas një kohe, rregulla që ndryshojnë vetvetiu, trafik LAN që bie), merrni në konsideratë azhurnoni firmware-inÇaktivizoni shërbimet që nuk i përdorni (administrimi në distancë i internetit/Telnet/SSH), ndryshoni kredencialet, kontrolloni klonimin e MAC nëse është e aplikueshme dhe në fund të fundit, Rivendos në cilësimet e fabrikës dhe rikonfiguro me cilësime minimale dhe një listë të bardhë të rreptë.
Shënime për pajtueshmërinë, modelet dhe disponueshmërinë
Disponueshmëria e veçorive (ACL me gjendje, profile, lista të bardha, redaktim PVID në porta, etj.) Mund të varet nga modeli dhe versioni i hardueritNë disa pajisje, siç është TL-R600VPN, disa aftësi janë të disponueshme vetëm nga versioni 4 e tutje. Ndërfaqet e përdoruesit gjithashtu ndryshojnë, por procesi bazë është i njëjtë: bllokimi si parazgjedhje, përcaktoni shërbimet dhe grupet, lejoni nga IP specifike dhe bllokoni pjesën tjetër.
Brenda ekosistemit TP-Link, ka shumë pajisje të përfshira në rrjetet e ndërmarrjeve. Modelet e cituara në dokumentacion përfshijnë T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-28TQ, T2500G-25GTS, T2500G-10TS, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T38G2, T3270 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQndër të tjera. Mbani në mend se Oferta ndryshon sipas rajonit. dhe disa mund të mos jenë të disponueshme në zonën tuaj.
Për të qëndruar të përditësuar, vizitoni faqen e mbështetjes së produktit tuaj, zgjidhni versionin e saktë të harduerit dhe kontrolloni shënime dhe specifikime teknike të firmware-it me përmirësimet më të fundit. Ndonjëherë përditësimet zgjerojnë ose përsosin veçoritë e firewall-it, ACL-së ose menaxhimit në distancë.
Mbyllni SSH Për të gjitha IP-të përveç atyre specifike, organizimi i duhur i ACL-ve dhe të kuptuarit se cili mekanizëm kontrollon secilën gjë ju shpëton nga surpriza të pakëndshme. Me një politikë të paracaktuar mohimi, lista të bardha të sakta dhe verifikim të rregulltRouteri juaj TP-Link dhe shërbimet që fshihen pas tij do të mbrohen shumë më mirë pa hequr dorë nga menaxhimi kur të keni nevojë për të.
I pasionuar pas teknologjisë që i vogël. Më pëlqen të jem i përditësuar në këtë sektor dhe, mbi të gjitha, ta komunikoj atë. Kjo është arsyeja pse unë i jam përkushtuar komunikimit në uebsajtet e teknologjisë dhe video lojërave për shumë vite tani. Mund të më gjeni duke shkruar për Android, Windows, MacOS, iOS, Nintendo ose çdo temë tjetër të lidhur që ju vjen në mendje.