- Дајте приоритет подразумеваној политици одбијања и користите беле листе за SSH.
- Комбинује NAT + ACL: отвара порт и ограничава према изворној IP адреси.
- Проверите помоћу nmap/ping-а и поштујте приоритет правила (ID).
- Ојачајте ажурирањима, SSH кључевима и минималним услугама.
¿Како ограничити SSH приступ TP-Link рутеру на поуздане IP адресе? Контролисање ко може приступити вашој мрежи путем SSH-а није хир, већ суштински слој безбедности. Дозволи приступ само са поузданих IP адреса Смањује површину напада, успорава аутоматско скенирање и спречава сталне покушаје упада са интернета.
У овом практичном и свеобухватном водичу видећете како то да урадите у различитим сценаријима са ТП-Линк опремом (СМБ и Омада), шта треба узети у обзир код ACL правила и белих листа и како да проверите да ли је све правилно затворено. Интегришемо додатне методе као што су TCP Wrappers, iptables и најбоље праксе тако да можете обезбедити своје окружење без остављања икаквих недовршених задатака.
Зашто ограничити SSH приступ на TP-Link рутерима
Излагање SSH интернету отвара врата масовним претрагама од стране већ радозналих ботова са злонамерним намерама. Није неуобичајено открити порт 22 доступан на WAN мрежи након скенирања, као што је примећено у [примери SSH]. критични кварови у ТП-Линк рутерима. Једноставна nmap команда може се користити да проверите да ли ваша јавна IP адреса има отворен порт 22.: извршава нешто слично овоме на екстерној машини nmap -vvv -p 22 TU_IP_PUBLICA и проверите да ли се појављује „open ssh“.
Чак и ако користите јавне кључеве, остављање порта 22 отвореним позива на даља истраживања, тестирање других портова и напад на сервисе управљања. Решење је јасно: подразумевано забранити и омогућити само са дозвољених ИП адреса или опсега.Пожељно је да ви сами поправите и контролишете. Ако вам није потребно даљинско управљање, потпуно га онемогућите на WAN мрежи.
Поред откривања портова, постоје ситуације у којима можете посумњати на промене правила или аномално понашање (на пример, кабловски модем који почиње да „испушта“ одлазни саобраћај након неког времена). Ако приметите да су пинг, трасероуте или прегледање заглављени на модему, проверите подешавања, фирмвер и размислите о враћању на фабричка подешавања. и затворите све што не користите.
Ментални модел: блокирање по подразумеваним подешавањима и креирање беле листе
Победничка филозофија је једноставна: подразумевана политика одбијања и експлицитни изузециНа многим ТП-Линк рутерима са напредним интерфејсом, можете подесити политику даљинског улаза типа Drop у заштитном зиду, а затим дозволити одређене адресе на белој листи за сервисе управљања.
На системима који укључују опције „Политика даљинског уноса“ и „Правила беле листе“ (на страницама Мрежа - Заштитни зид), Избаците бренд из политике даљинског уласка И додајте на белу листу јавне IP адресе у CIDR формату XXXX/XX које би требало да буду у могућности да дођу до конфигурације или услуга као што су SSH/Telnet/HTTP(S). Ови уноси могу да садрже кратак опис како би се избегла каснија забуна.
Кључно је разумети разлику између механизама. Преусмеравање портова (NAT/DNAT) преусмерава портове на LAN машинеДок „Правила филтрирања“ контролишу WAN-LAN или међумрежни саобраћај, „Правила беле листе“ заштитног зида управљају приступом систему управљања рутера. Правила филтрирања не блокирају приступ самом уређају; за то користите беле листе или посебна правила у вези са долазним саобраћајем ка рутеру.
Да би се приступило интерним сервисима, мапирање портова се креира у NAT-у, а затим се ограничава ко може да приступи том мапирању споља. Рецепт је: отворите потребан порт, а затим га ограничите контролом приступа. који дозвољава пролаз само овлашћеним изворима и блокира остале.
SSH са поузданих IP адреса на TP-Link SMB-у (ER6120/ER8411 и слични)
Код SMB рутера као што су TL-ER6120 или ER8411, уобичајени образац за оглашавање LAN сервиса (нпр. SSH на интерном серверу) и његово ограничавање изворном IP адресом је двофазни. Прво, порт се отвара помоћу виртуелног сервера (NAT), а затим се филтрира помоћу контроле приступа. на основу IP група и типова услуга.
Фаза 1 – Виртуелни сервер: идите на Напредно → NAT → Виртуелни сервер и креира унос за одговарајући WAN интерфејс. Конфигуришите екстерни порт 22 и усмерите га ка интерној IP адреси сервера (на пример, 192.168.0.2:22)Сачувајте правило да бисте га додали на листу. Ако ваш случај користи други порт (нпр. променили сте SSH на 2222), прилагодите вредност у складу са тим.
Фаза 2 – Врста услуге: унесите Подешавања → Тип услуге, креирајте нову услугу под називом, на пример, SSH, изаберите TCP или TCP/UDP и дефинишите одредишни порт 22 (опсег изворних портова може бити од 0 до 65535). Овај слој ће вам омогућити да јасно референцирате порт у ACL-у.
Фаза 3 – IP група: идите на Подешавања → ИП група → ИП адреса и додајте уносе и за дозвољени извор (нпр. вашу јавну ИП адресу или опсег под називом „Access_Client“) и за одредишни ресурс (нпр. „SSH_Server“ са интерном ИП адресом сервера). Затим повежите сваку адресу са одговарајућом IP групом у оквиру истог менија.
Фаза 4 – Контрола приступа: унутра Заштитни зид → Контрола приступа Направите два правила. 1) Дозволи правило: Дозволи политику, новодефинисану услугу „SSH“, Извор = IP група „Access_Client“ и одредиште = „SSH_Server“Дајте му ИД 1. 2) Правило блокирања: Политику блокирања са извор = IPGROUP_ANY и одредиште = „SSH_Server“ (или како је применљиво) са ID 2. На овај начин, само поуздана IP адреса или опсег ће проћи кроз NAT до вашег SSH-а; остатак ће бити блокиран.
Редослед евалуације је важан. Нижи идентификатори имају приоритетСтога, правило Дозволи мора да претходи (има нижи ИД) правилу Блокирај. Након примене промена, моћи ћете да се повежете на WAN IP адресу рутера на дефинисаном порту са дозвољене IP адресе, али ће везе из других извора бити блокиране.
Напомене о моделу/фирмверу: Интерфејс може да се разликује у зависности од хардвера и верзије. TL-R600VPN захтева хардвер v4 да би покрио одређене функцијеИ на различитим системима, менији могу бити премештени. Упркос томе, ток је исти: тип сервиса → IP групе → ACL са Дозволи и Блокирај. Не заборавите сачувајте и примените да би правила ступила на снагу.
Препоручена верификација: Са овлашћене ИП адресе, покушајте ssh usuario@IP_WAN и потврдите приступ. Са друге ИП адресе, порт би требало да постане недоступан. (веза која не стигне или је одбијена, идеално без банера како би се избегло давање назнака).
ACL са Omada контролером: Листе, стања и примери сценарија
Ако управљате TP-Link gateway-има помоћу Omada Controller-а, логика је слична, али са више визуелних опција. Креирајте групе (IP или портове), дефинишите ACL-ове за gateway и организујте правила дозволити најнижи минимум и ускратити све остало.
Листе и групе: у Подешавања → Профили → Групе Можете креирати IP групе (подмреже или хостове, као што су 192.168.0.32/27 или 192.168.30.100/32) и такође групе портова (на пример, HTTP 80 и DNS 53). Ове групе поједностављују сложена правила поновном употребом предмета.
ACL за мрежни пролаз: укључено Конфигурација → Безбедност мреже → ACL Додајте правила са смером LAN→WAN, LAN→LAN или WAN→LAN у зависности од тога шта желите да заштитите. Политика за свако правило може бити Дозволи или Забрани. и редослед одређује стварни резултат. Означите „Омогући“ да бисте их активирали. Неке верзије вам омогућавају да оставите правила припремљена и онемогућена.
Корисни случајеви (прилагодљиви SSH-у): дозволите само одређене сервисе и блокирајте остале (нпр. Дозволите DNS и HTTP, а затим Забраните све). За беле листе за управљање, креирајте опцију Дозволи од поузданих IP адреса на „Страници за администрацију мрежног пролаза“ а затим опште одбијање од стране других мрежа. Ако ваш фирмвер има ту опцију. ДвосмерноМожете аутоматски генерисати инверзно правило.
Статус везе: ACL-ови могу бити статични. Уобичајени типови су Нови, Успостављени, Повезани и Неважећи„Ново“ обрађује први пакет (нпр. SYN у TCP-у), „Успостављено“ обрађује претходно пронађени двосмерни саобраћај, „Повезано“ обрађује зависне везе (као што су FTP канали података), а „Неважеће“ обрађује аномални саобраћај. Генерално је најбоље задржати подразумевана подешавања осим ако вам није потребна додатна грануларност.
VLAN и сегментација: подршка за Omada и SMB рутере једносмерни и двосмерни сценарији између VLAN мрежаМожете блокирати Маркетинг→Риспитивање и развој, али дозволити Риспитивање и развој→Маркетинг, или блокирати оба смера и даље овластити одређеног администратора. Смер LAN→LAN у ACL-у се користи за контролу саобраћаја између интерних подмрежа.
Додатне методе и појачања: TCP Wrappers, iptables, MikroTik и класични заштитни зид
Поред ACL-ова рутера, постоје и други слојеви које треба применити, посебно ако је SSH одредиште Linux сервер иза рутера. TCP Wrappers омогућава филтрирање по IP адреси помоћу hosts.allow и hosts.deny на компатибилним сервисима (укључујући OpenSSH у многим традиционалним конфигурацијама).
Контролне датотеке: ако не постоје, креирајте их помоћу sudo touch /etc/hosts.{allow,deny}. Најбоља пракса: забрани све у hosts.deny и експлицитно то дозвољава у hosts.allow. На пример: у /etc/hosts.deny пон sshd: ALL и /etc/hosts.allow додати sshd: 203.0.113.10, 198.51.100.0/24Дакле, само те ИП адресе ће моћи да дођу до SSH демона сервера.
Прилагођени iptables: Ако ваш рутер или сервер то дозвољава, додајте правила која прихватају SSH само из одређених извора. Типично правило би било: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT након чега следи подразумевана DROP политика или правило које блокира остатак. На рутерима са картицом Прилагођена правила Можете убризгати ове линије и применити их помоћу опције „Сачувај и примени“.
Најбоље праксе у MikroTik-у (применљиво као општи водич): промените подразумеване портове ако је изводљиво, деактивирајте Телнет (користите само SSH), користите јаке лозинке или, још боље, аутентификација кључаОграничите приступ по ИП адреси помоћу заштитног зида (фајервола), омогућите 2FA ако уређај то подржава и редовно ажурирајте фирмвер/RouterOS. Онемогућите WAN приступ ако вам није потребанПрати неуспеле покушаје и, ако је потребно, примењује ограничења брзине повезивања како би сузбио нападе грубом силом.
ТП-Линк класични интерфејс (старији фирмвер): Пријавите се на панел користећи ЛАН ИП адресу (подразумевано 192.168.1.1) и администраторске акредитиве, а затим идите на Безбедност → Заштитни зидОмогућите IP филтер и изаберите да неодређени пакети прате жељену политику. Затим, у Филтрирање IP адреса, притисните „Додај ново“ и дефинишите које ИП адресе могу или не могу да користе сервисни порт на WAN мрежи (за SSH, 22/tcp). Сачувајте сваки корак. Ово вам омогућава да примените опште забрану и креирате изузетке како бисте дозволили само поуздане IP адресе.
Блокирајте одређене ИП адресе статичким рутама
У неким случајевима је корисно блокирати одлазне поруке ка одређеним ИП адресама како би се побољшала стабилност са одређеним услугама (као што је стримовање). Један од начина да се ово уради на више ТП-Линк уређаја је статичко рутирање., креирајући /32 руте које избегавају достизање тих одредишта или их усмеравају на такав начин да их не троши подразумевана рута (подршка варира у зависности од фирмвера).
Недавни модели: идите на картицу Напредно → Мрежа → Напредно рутирање → Статичко рутирање и притисните „+ Додај“. Унесите „Мрежно одредиште“ са IP адресом коју желите да блокирате, „Маска подмреже“ 255.255.255.255, „Подразумевани пролаз“ LAN пролаз (обично 192.168.0.1) и „Интерфејс“ LAN. Изаберите „Дозволи овај унос“ и сачувајтеПоновите поступак за сваку циљну IP адресу у зависности од сервиса који желите да контролишете.
Старији фирмвери: идите на Напредно рутирање → Статичка листа рутирања, притисните „Додај ново“ и попуните иста поља. Активирај статус руте и сачувајОбратите се подршци вашег сервиса да бисте сазнали које ИП адресе треба третирати, јер се оне могу променити.
Верификација: Отворите терминал или командну линију и тестирајте са ping 8.8.8.8 (или одредишну ИП адресу коју сте блокирали). Ако видите „Временско ограничење“ или „Одредишни хост није доступан“Блокирање функционише. Ако не, прегледајте кораке и поново покрените рутер да би све табеле ступиле на снагу.
Верификација, тестирање и решавање инцидената
Да бисте проверили да ли ваша SSH бела листа ради, покушајте да користите овлашћену IP адресу. ssh usuario@IP_WAN -p 22 (или порт који користите) и потврдите приступ. Са неовлашћене IP адресе, порт не би требало да нуди услугу.. сад nmap -p 22 IP_WAN да провери вруће стање.
Ако нешто не реагује како треба, проверите приоритет ACL-а. Правила се обрађују секвенцијално, а она са најнижим ИД-ом побеђују.Опција „Одбиј“ изнад ваше опције „Дозволи“ поништава белу листу. Такође, проверите да ли „Тип услуге“ указује на исправан порт и да ли ваше „IP групе“ садрже одговарајуће опсеге.
У случају сумњивог понашања (губитак везе након неког времена, правила која се сама мењају, прекид ЛАН саобраћаја), размотрите ажурирајте фирмверОнемогућите сервисе које не користите (удаљена веб/телнет/ссх администрација), промените акредитиве, проверите клонирање МАК адресе ако је потребно и на крају, Вратите на фабричка подешавања и поново конфигуришите са минималним подешавањима и строгом белом листом.
Напомене о компатибилности, моделима и доступности
Доступност функција (ACL-ови са провером стања, профили, беле листе, уређивање PVID-а на портовима итд.) Може зависити од модела и верзије хардвераКод неких уређаја, као што је TL-R600VPN, одређене могућности су доступне тек од верзије 4 па надаље. Кориснички интерфејси се такође мењају, али основни процес је исти: блокирање по подразумеваним подешавањима, дефинишите услуге и групе, дозволи са одређених ИП адреса и блокирај остале.
Унутар TP-Link екосистема, постоји много уређаја укључених у пословне мреже. Модели наведени у документацији укључују Т1600Г-18ТС, Т1500Г-10ПС, ТЛ-СГ2216, Т2600Г-52ТС, Т2600Г-28ТС, ТЛ-СГ2210П, Т2500-28ТЦ, Т2700Г-28ТК, Т2500Г-10СГ54, ТС12 Т2600Г-28МПС, Т1500Г-10МПС, СГ2210П, С4500-8Г, Т1500-28ТЦ, Т1700Кс-16ТС, Т1600Г-28ТС, ТЛ-СЛ3452, ТЛ-СГ3216, Т3702, ТЛ5СГ2000 Т1700Г-28ТК, Т1500-28ПЦТ, Т2600Г-18ТС, Т1600Г-28ПС, Т2500Г-10МПС, Феста ФС310ГП, Т1600Г-52МПС, Т1600Г-52ПС, ТЛ-СЛ2428, Т1600Г-52ТС, Т3700Г-28ТК, Т1500Г-8Т, Т1700Кс-28ТКизмеђу осталог. Имајте на уму да Понуда варира у зависности од региона. а неки можда нису доступни у вашем подручју.
Да бисте остали у току са најновијим информацијама, посетите страницу за подршку за ваш производ, изаберите исправну верзију хардвера и проверите белешке о фирмверу и техничке спецификације са најновијим побољшањима. Понекад ажурирања проширују или усавршавају функције заштитног зида, ACL-а или даљинског управљања.
Затвори ССХ За све осим одређених IP адреса, правилно организовање ACL-ова и разумевање који механизам контролише сваку ствар штеди вас од непријатних изненађења. Са подразумеваном политиком одбијања, прецизним белим листама и редовном верификацијомВаш ТП-Линк рутер и сервиси иза њега биће много боље заштићени без одустајања од управљања када вам је потребно.
Страствен за технологију од малих ногу. Волим да будем у току у сектору и, изнад свега, да га комуницирам. Због тога сам дуги низ година посвећен комуникацији на сајтовима о технологији и видео игрицама. Можете ме наћи како пишем о Андроиду, Виндовс-у, МацОС-у, иОС-у, Нинтендо-у или било којој другој сродној теми која вам падне на памет.