- Prioritera en standardpolicy för nekande och använd vitlistor för SSH.
- Kombinerar NAT + ACL: öppnar porten och begränsar efter käll-IP.
- Verifiera med nmap/ping och respektera regelprioriteten (ID).
- Stärk med uppdateringar, SSH-nycklar och minimitjänster.
¿Hur begränsar man SSH-åtkomst till en TP-Link-router till betrodda IP-adresser? Att kontrollera vem som kan komma åt ditt nätverk via SSH är inte en infall, det är ett viktigt säkerhetslager. Tillåt endast åtkomst från betrodda IP-adresser Det minskar attackytan, saktar ner automatiska skanningar och förhindrar ständiga intrångsförsök från internet.
I den här praktiska och omfattande guiden får du se hur du gör det i olika scenarier med TP-Link-utrustning (SMB och Omada), vad du ska tänka på gällande ACL-regler och vitlistor, och hur du verifierar att allt är korrekt stängt. Vi integrerar ytterligare metoder som TCP Wrappers, iptables och bästa praxis. så att du kan säkra din miljö utan att lämna några lösa trådar.
Varför begränsa SSH-åtkomst på TP-Link-routrar
Att exponera SSH för internet öppnar dörren för massiva genomsökningar av redan nyfikna bottar med illvilliga avsikter. Det är inte ovanligt att upptäcka port 22 som är tillgänglig på WAN-nätet efter en skanning, vilket har observerats i [exempel på SSH]. kritiska fel i TP-Link-routrar. Ett enkelt nmap-kommando kan användas för att kontrollera om din publika IP-adress har port 22 öppen.kör något liknande detta på en extern maskin nmap -vvv -p 22 TU_IP_PUBLICA och kontrollera om "öppna ssh" visas.
Även om du använder publika nycklar, inbjuder det till vidare utforskning, testning av andra portar och attacker av hanteringstjänster om du lämnar port 22 öppen. Lösningen är tydlig: neka som standard och aktivera endast från tillåtna IP-adresser eller intervall.Helst fixat och kontrollerat av dig. Om du inte behöver fjärrhantering, inaktivera det helt på WAN-nätet.
Förutom att exponera portar finns det situationer där du kan misstänka regeländringar eller avvikande beteende (till exempel ett kabelmodem som börjar "släppa" utgående trafik efter ett tag). Om du märker att ping, traceroute eller surfning har fastnat vid modemet, kontrollera inställningarna och den inbyggda programvaran och överväg att återställa fabriksinställningarna. och stäng allt du inte använder.
Mental modell: blockera som standard och skapa en vitlista
Den vinnande filosofin är enkel: standardpolicy för nekande och explicita undantagPå många TP-Link-routrar med ett avancerat gränssnitt kan du ställa in en Drop-typ-policy för fjärrinträde i brandväggen och sedan tillåta specifika adresser på en vitlista för hanteringstjänster.
På system som inkluderar alternativen "Fjärrinmatningspolicy" och "Vitlistaregler" (på sidorna Nätverk - Brandvägg), Släpp varumärket i policyn för fjärrinträde Och lägg till vitlistan de publika IP-adresser i CIDR-format XXXX/XX som ska kunna nå konfigurationen eller tjänster som SSH/Telnet/HTTP(S). Dessa poster kan innehålla en kort beskrivning för att undvika förvirring senare.
Det är viktigt att förstå skillnaden mellan mekanismerna. Portvidarebefordran (NAT/DNAT) omdirigerar portar till LAN-maskinerMedan "Filtreringsregler" styr WAN-till-LAN- eller nätverkstrafik, styr brandväggens "Vitlistningsregler" åtkomst till routerns hanteringssystem. Filtreringsregler blockerar inte åtkomst till själva enheten; för det använder du vitlistor eller specifika regler för inkommande trafik till routern.
För att komma åt interna tjänster skapas portmappning i NAT och sedan är det begränsat vem som kan nå den mappningen utifrån. Receptet är: öppna den nödvändiga porten och begränsa den sedan med åtkomstkontroll. som endast tillåter auktoriserade källor att passera och blockerar resten.
SSH från betrodda IP-adresser på TP-Link SMB (ER6120/ER8411 och liknande)
I SMB-routrar som TL-ER6120 eller ER8411 är det vanliga mönstret för att annonsera en LAN-tjänst (t.ex. SSH på en intern server) och begränsa den med käll-IP tvåfasigt. Först öppnas porten med en virtuell server (NAT), och sedan filtreras den med åtkomstkontroll. baserat på IP-grupper och tjänstetyper.
Fas 1 – Virtuell server: gå till Avancerat → NAT → Virtuell server och skapar en post för motsvarande WAN-gränssnitt. Konfigurera extern port 22 och peka den till serverns interna IP-adress (till exempel 192.168.0.2:22)Spara regeln för att lägga till den i listan. Om ditt fall använder en annan port (t.ex. om du har ändrat SSH till 2222) justerar du värdet därefter.
Fas 2 – Tjänstetyp: ange Inställningar → Tjänstetyp, skapa en ny tjänst som heter till exempel SSH, välj TCP eller TCP/UDP och definiera destinationsport 22 (källportens intervall kan vara 0–65535). Det här lagret låter dig referera porten tydligt i ACL:n.
Fas 3 – IP-gruppen: gå till Inställningar → IP-grupp → IP-adress och lägg till poster för både den tillåtna källan (t.ex. din publika IP-adress eller ett intervall med namnet "Access_Client") och destinationsresursen (t.ex. "SSH_Server" med serverns interna IP-adress). Koppla sedan varje adress till motsvarande IP-grupp inom samma meny.
Fas 4 – Åtkomstkontroll: in Brandvägg → Åtkomstkontroll Skapa två regler. 1) Tillåt regel: Tillåt policy, nydefinierad "SSH"-tjänst, Källa = IP-gruppen "Access_Client" och destination = "SSH_Server". Ange ID 1. 2) Blockeringsregel: Blockeringspolicy med källa = IPGROUP_ANY och destination = “SSH_Server” (eller i förekommande fall) med ID 2. På så sätt kommer endast den betrodda IP-adressen eller intervallet att gå via NAT till din SSH; resten kommer att blockeras.
Utvärderingsordningen är avgörande. Lägre ID-nummer prioriterasDärför måste Tillåt-regeln föregå (lägre ID) Block-regeln. Efter att ändringarna har tillämpats kommer du att kunna ansluta till routerns WAN IP-adress på den definierade porten från den tillåtna IP-adressen, men anslutningar från andra källor kommer att blockeras.
Modell-/firmware-anmärkningar: Gränssnittet kan variera mellan hårdvara och versioner. TL-R600VPN kräver hårdvaruversion 4 för att täcka vissa funktionerOch på olika system kan menyerna flyttas. Ändå är flödet detsamma: tjänsttyp → IP-grupper → ACL med Tillåt och Blockera. Glöm inte spara och tillämpa för att reglerna ska träda i kraft.
Rekommenderad verifiering: Försök från den auktoriserade IP-adressen ssh usuario@IP_WAN och verifiera åtkomst. Från en annan IP-adress borde porten bli oåtkomlig. (anslutning som inte kommer fram eller avvisas, helst utan banner för att undvika ledtrådar).
ACL med Omada Controller: Listor, tillstånd och exempelscenarier
Om du hanterar TP-Link-gateways med Omada Controller är logiken liknande men med fler visuella alternativ. Skapa grupper (IP eller portar), definiera gateway-ACL:er och organisera reglerna att tillåta det absoluta minimum och förneka allt annat.
Listor och grupper: i Inställningar → Profiler → Grupper Du kan skapa IP-grupper (subnät eller värdar, till exempel 192.168.0.32/27 eller 192.168.30.100/32) och även portgrupper (till exempel HTTP 80 och DNS 53). Dessa grupper förenklar komplexa regler genom att återanvända föremål.
Gateway-ACL: på Konfiguration → Nätverkssäkerhet → ACL Lägg till regler med riktningen LAN→WAN, LAN→LAN eller WAN→LAN beroende på vad du vill skydda. Policyn för varje regel kan vara Tillåt eller Neka. och ordningen avgör det faktiska resultatet. Markera "Aktivera" för att aktivera dem. Vissa versioner låter dig lämna regler förberedda och inaktiverade.
Användbara fall (anpassningsbara till SSH): tillåt endast specifika tjänster och blockera resten (t.ex. Tillåt DNS och HTTP och sedan Neka alla). För administrationsvitlistor, skapa Tillåt från betrodda IP-adresser till "Gateway-administrationssidan". och sedan en generell avvisning från de andra nätverken. Om din firmware har det alternativet. DubbelriktadDu kan generera den inversa regeln automatiskt.
Anslutningsstatus: ACL:er kan vara tillståndskänsliga. De vanliga typerna är Nya, Etablerade, Relaterade och Ogiltiga"Ny" hanterar det första paketet (t.ex. SYN i TCP), "Etablerad" hanterar tidigare påträffad dubbelriktad trafik, "Relaterad" hanterar beroende anslutningar (t.ex. FTP-datakanaler) och "Ogiltig" hanterar avvikande trafik. Det är generellt bäst att behålla standardinställningarna om du inte behöver extra detaljer.
VLAN och segmentering: Stöd för Omada- och SMB-routrar enkelriktade och dubbelriktade scenarier mellan VLANDu kan blockera Marknadsföring→FoU men tillåta FoU→Marknadsföring, eller blockera båda riktningarna och fortfarande auktorisera en specifik administratör. LAN→LAN-riktningen i ACL:n används för att styra trafik mellan interna subnät.
Ytterligare metoder och förstärkningar: TCP-omslag, iptables, MikroTik och klassisk brandvägg
Förutom routerns ACL:er finns det andra lager som bör tillämpas, särskilt om SSH-destinationen är en Linux-server bakom routern. TCP Wrappers tillåter filtrering efter IP med hosts.allow och hosts.deny på kompatibla tjänster (inklusive OpenSSH i många traditionella konfigurationer).
Kontrollfiler: om de inte finns, skapa dem med sudo touch /etc/hosts.{allow,deny}. Bästa praxis: neka allt i hosts.deny och tillåter det explicit i hosts.allow. Till exempel: i /etc/hosts.deny pon sshd: ALL och /etc/hosts.allow tillägger sshd: 203.0.113.10, 198.51.100.0/24Således kommer endast dessa IP-adresser att kunna nå serverns SSH-daemon.
Anpassade iptables: Om din router eller server tillåter det, lägg till regler som bara accepterar SSH från specifika källor. En typisk regel skulle vara: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT följt av en standard DROP-policy eller en regel som blockerar resten. På routrar med en flik av Anpassade regler Du kan injicera dessa rader och tillämpa dem med "Spara och tillämpa".
Bästa praxis i MikroTik (gäller som en allmän vägledning): ändra standardportar om möjligt, inaktivera Telnet (använd endast SSH), använd starka lösenord eller, ännu bättre, nyckelautentiseringBegränsa åtkomst via IP-adress med hjälp av brandväggen, aktivera 2FA om enheten stöder det och håll firmware/routerOS uppdaterat. Inaktivera WAN-åtkomst om du inte behöver detDen övervakar misslyckade försök och tillämpar vid behov gränser för anslutningshastighet för att begränsa brute force-attacker.
TP-Link Classic Interface (Äldre firmware): Logga in på panelen med LAN-IP-adressen (standard 192.168.1.1) och administratörs-/administratörsuppgifter, gå sedan till Säkerhet → BrandväggAktivera IP-filtret och välj att ospecificerade paket ska följa önskad policy. Sedan, i IP-adressfiltrering, tryck på "Lägg till ny" och definiera vilka IP-adresser kan eller inte kan använda serviceporten på WAN (för SSH, 22/tcp). Spara varje steg. Detta låter dig tillämpa en generell nekning och skapa undantag för att endast tillåta betrodda IP-adresser.
Blockera specifika IP-adresser med statiska rutter
I vissa fall är det bra att blockera utgående trafik till specifika IP-adresser för att förbättra stabiliteten med vissa tjänster (t.ex. streaming). Ett sätt att göra detta på flera TP-Link-enheter är via statisk routing., skapa /32-rutter som undviker att nå dessa destinationer eller dirigerar dem på ett sådant sätt att de inte förbrukas av standardrutten (stödet varierar beroende på firmware).
Nya modeller: gå till fliken Avancerat → Nätverk → Avancerad routing → Statisk routing och tryck på "+ Lägg till". Ange "Nätverksdestination" med IP-adressen som ska blockeras, "Subnätmask" 255.255.255.255, "Standardgateway" för LAN-gatewayen (vanligtvis 192.168.0.1) och "Gränssnitt" för LAN. Välj "Tillåt denna post" och sparaUpprepa för varje mål-IP-adress beroende på vilken tjänst du vill kontrollera.
Äldre firmware: gå till Avancerad routing → Statisk routinglista, tryck på "Lägg till ny" och fyll i samma fält. Aktivera ruttstatus och sparaKontakta din tjänsts support för att ta reda på vilka IP-adresser som ska behandlas, eftersom dessa kan ändras.
Verifiering: Öppna en terminal eller kommandotolk och testa med ping 8.8.8.8 (eller den destinations-IP-adress du har blockerat). Om du ser "Timeout" eller "Destinationsvärden kan inte nås"Blockeringen fungerar. Om inte, granska stegen och starta om routern för att alla tabeller ska aktiveras.
Verifiering, testning och incidenthantering
För att kontrollera att din SSH-vitlista fungerar, försök att använda en auktoriserad IP-adress. ssh usuario@IP_WAN -p 22 (eller den port du använder) och bekräfta åtkomst. Från en obehörig IP-adress ska porten inte erbjuda tjänst.. USA nmap -p 22 IP_WAN för att kontrollera det varma tillståndet.
Om något inte svarar som det ska, kontrollera ACL-prioriteten. Reglerna bearbetas sekventiellt, och de med lägst ID vinner.En Neka-funktion ovanför Tillåt-funktionen ogiltigförklarar vitlistan. Kontrollera också att "Tjänsttyp" pekar på rätt port och att dina "IP-grupper" innehåller rätt intervall.
Vid misstänkt beteende (förlust av anslutning efter ett tag, regler som ändras av sig själva, LAN-trafik som minskar), överväg uppdatera firmwareInaktivera tjänster du inte använder (fjärrwebb/Telnet/SSH-administration), ändra inloggningsuppgifter, kontrollera MAC-kloning om tillämpligt och slutligen, Återställ till fabriksinställningarna och konfigurera om med minimala inställningar och en strikt vitlista.
Kompatibilitet, modeller och tillgänglighetsanteckningar
Tillgängligheten av funktioner (tillståndsbaserade ACL:er, profiler, vitlistor, PVID-redigering på portar etc.) Det kan bero på hårdvarumodellen och versionenI vissa enheter, som TL-R600VPN, är vissa funktioner endast tillgängliga från och med version 4. Användargränssnitten ändras också, men den grundläggande processen är densamma: blockering som standard, definiera tjänster och grupper, tillåt från specifika IP-adresser och blockera resten.
Inom TP-Links ekosystem finns det många enheter involverade i företagsnätverk. Modeller som citeras i dokumentationen inkluderar T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-105TS, TL-SG412F T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700Q, TL8, T37000G0 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQbland annat. Tänk på att Erbjudandet varierar beroende på region. och vissa kanske inte är tillgängliga i ditt område.
För att hålla dig uppdaterad, besök din produkts supportsida, välj rätt hårdvaruversion och kontrollera firmware-anteckningar och tekniska specifikationer med de senaste förbättringarna. Ibland utökar eller förfinar uppdateringar brandvägg, åtkomstkontrolllista eller fjärrhanteringsfunktioner.
Stäng SSH För alla utom specifika IP-adresser undviker du obehagliga överraskningar genom att organisera ACL:er på rätt sätt och förstå vilken mekanism som styr varje sak. Med en standardpolicy för avslag, exakta vitlistor och regelbunden verifieringDin TP-Link-router och tjänsterna bakom den kommer att vara mycket bättre skyddade utan att du behöver ge upp hanteringen när du behöver det.
Brinner för teknik sedan han var liten. Jag älskar att vara uppdaterad inom branschen och framför allt kommunicera den. Det är därför jag har varit dedikerad till kommunikation på teknik- och videospelswebbplatser i många år nu. Du kan hitta mig som skriver om Android, Windows, MacOS, iOS, Nintendo eller något annat relaterat ämne som du tänker på.