- Unahin ang isang default na patakaran sa pagtanggi at gumamit ng mga whitelist para sa SSH.
- Pinagsasama ang NAT + ACL: binubuksan ang port at nililimitahan ng source IP.
- I-verify gamit ang nmap/ping at igalang ang priority ng panuntunan (ID).
- Palakasin gamit ang mga update, SSH key, at minimum na serbisyo.
¿Paano paghigpitan ang SSH access sa isang TP-Link router sa mga pinagkakatiwalaang IP? Ang pagkontrol kung sino ang makaka-access sa iyong network sa pamamagitan ng SSH ay hindi isang kapritso, ito ay isang mahalagang layer ng seguridad. Pahintulutan lamang ang pag-access mula sa mga pinagkakatiwalaang IP address Binabawasan nito ang ibabaw ng pag-atake, pinapabagal ang mga awtomatikong pag-scan, at pinipigilan ang patuloy na mga pagtatangka sa pagpasok mula sa Internet.
Sa praktikal at komprehensibong gabay na ito makikita mo kung paano ito gagawin sa iba't ibang mga senaryo sa kagamitan ng TP-Link (SMB at Omada), kung ano ang dapat isaalang-alang sa mga panuntunan at whitelist ng ACL, at kung paano i-verify na ang lahat ay maayos na nakasara. Isinasama namin ang mga karagdagang pamamaraan tulad ng TCP Wrappers, iptables, at pinakamahusay na kagawian upang ma-secure mo ang iyong kapaligiran nang hindi umaalis sa anumang maluwag na dulo.
Bakit limitahan ang SSH access sa mga TP-Link router
Ang paglalantad sa SSH sa internet ay nagbubukas ng pinto sa napakalaking sweep ng mga usyosong bot na may malisyosong layunin. Karaniwang makita ang port 22 na naa-access sa WAN pagkatapos ng pag-scan, tulad ng naobserbahan sa [mga halimbawa ng SSH]. kritikal na pagkabigo sa mga TP-Link router. Ang isang simpleng nmap command ay maaaring gamitin upang suriin kung ang iyong pampublikong IP address ay may port 22 na bukas.: nagsasagawa ng isang bagay na tulad nito sa isang panlabas na makina nmap -vvv -p 22 TU_IP_PUBLICA at tingnan kung lalabas ang "open ssh".
Kahit na gumamit ka ng mga pampublikong key, ang pag-iiwan sa port 22 na bukas ay nag-aanyaya ng karagdagang paggalugad, pagsubok sa iba pang mga port, at pag-atake sa mga serbisyo ng pamamahala. Ang solusyon ay malinaw: tanggihan bilang default at paganahin lamang mula sa mga pinapayagang IP o saklaw.Mas mabuti na naayos at kinokontrol mo. Kung hindi mo kailangan ng malayuang pamamahala, ganap itong i-disable sa WAN.
Bilang karagdagan sa paglalantad ng mga port, may mga sitwasyon kung saan maaari kang maghinala ng mga pagbabago sa panuntunan o maanomalyang gawi (halimbawa, isang cable modem na magsisimulang "mag-drop" ng papalabas na trapiko pagkaraan ng ilang sandali). Kung mapapansin mo na ang ping, traceroute, o pag-browse ay hindi lumalagpas sa modem, suriin ang mga setting, firmware, at isaalang-alang ang pagpapanumbalik ng mga factory setting. at isara ang lahat ng hindi mo ginagamit.
Mental model: i-block bilang default at gumawa ng whitelist
Ang panalong pilosopiya ay simple: default na pagtanggi sa patakaran at tahasang mga pagbubukodSa maraming TP-Link router na may advanced na interface, maaari kang magtakda ng Drop-type na malayuang pagpasok na patakaran sa firewall, at pagkatapos ay payagan ang mga partikular na address sa isang whitelist para sa mga serbisyo ng pamamahala.
Sa mga system na kinabibilangan ng "Remote Input Policy" at "Whitelist rules" na mga opsyon (sa Network - Firewall page), I-drop ang brand sa patakaran sa remote entry At idagdag sa whitelist ang mga pampublikong IP sa CIDR na format na XXXX/XX na dapat maabot ang configuration o mga serbisyo tulad ng SSH/Telnet/HTTP(S). Ang mga entry na ito ay maaaring magsama ng maikling paglalarawan upang maiwasan ang pagkalito sa ibang pagkakataon.
Mahalagang maunawaan ang pagkakaiba sa pagitan ng mga mekanismo. Ang pagpapasa ng port (NAT/DNAT) ay nagre-redirect ng mga port sa mga LAN machineHabang kinokontrol ng "Mga panuntunan sa pag-filter" ang WAN-to-LAN o inter-network na trapiko, ang "Mga panuntunan sa Whitelist" ng firewall ay namamahala sa pag-access sa sistema ng pamamahala ng router. Hindi hinaharangan ng mga panuntunan sa pag-filter ang pag-access sa mismong device; para diyan, gumamit ka ng mga whitelist o partikular na panuntunan tungkol sa papasok na trapiko sa router.
Upang ma-access ang mga panloob na serbisyo, ang port mapping ay ginawa sa NAT at pagkatapos ay limitado kung sino ang makakarating sa pagmamapa na iyon mula sa labas. Ang recipe ay: buksan ang kinakailangang port at pagkatapos ay higpitan ito gamit ang access control. na nagpapahintulot lamang sa mga awtorisadong mapagkukunan na dumaan at hinaharangan ang iba pa.
SSH mula sa mga pinagkakatiwalaang IP sa TP-Link SMB (ER6120/ER8411 at katulad)
Sa mga SMB router tulad ng TL-ER6120 o ER8411, ang karaniwang pattern para sa pag-advertise ng serbisyo ng LAN (hal., SSH sa isang panloob na server) at paglilimita dito sa pamamagitan ng source IP ay two-phase. Una, ang port ay binuksan gamit ang isang Virtual Server (NAT), at pagkatapos ay na-filter ito gamit ang Access Control. batay sa mga pangkat ng IP at mga uri ng serbisyo.
Phase 1 – Virtual Server: pumunta sa Advanced → NAT → Virtual Server at lumilikha ng isang entry para sa kaukulang interface ng WAN. I-configure ang panlabas na port 22 at ituro ito sa panloob na IP address ng server (halimbawa, 192.168.0.2:22)I-save ang panuntunan upang idagdag ito sa listahan. Kung ang iyong kaso ay gumagamit ng ibang port (hal., binago mo ang SSH sa 2222), ayusin ang halaga nang naaayon.
Phase 2 – Uri ng serbisyo: ipasok Mga Kagustuhan → Uri ng Serbisyo, lumikha ng bagong serbisyo na tinatawag, halimbawa, SSH, piliin TCP o TCP/UDP at tukuyin ang patutunguhang port 22 (ang source port range ay maaaring 0–65535). Ang layer na ito ay magbibigay-daan sa iyo na i-reference ang port nang malinis sa ACL.
Phase 3 – IP Group: pumunta sa Mga Kagustuhan → IP Group → IP Address at magdagdag ng mga entry para sa parehong pinahihintulutang pinagmulan (hal. iyong pampublikong IP o isang saklaw, pinangalanang "Access_Client") at ang patutunguhang mapagkukunan (hal. "SSH_Server" na may panloob na IP ng server). Pagkatapos ay iugnay ang bawat address sa katumbas nitong IP Group sa loob ng parehong menu.
Phase 4 – Access control: sa Firewall → Access Control Gumawa ng dalawang panuntunan. 1) Pahintulutan ang Panuntunan: Payagan ang patakaran, bagong tinukoy na serbisyong "SSH", Source = IP group na "Access_Client" at destination = "SSH_Server". Bigyan ito ng ID 1. 2) Panuntunan sa Pag-block: Patakaran sa pag-block sa source = IPGROUP_ANY at destination = "SSH_Server" (o kung naaangkop) na may ID 2. Sa ganitong paraan, tanging ang pinagkakatiwalaang IP o saklaw lamang ang dadaan sa NAT patungo sa iyong SSH; ang iba ay haharangin.
Ang pagkakasunud-sunod ng pagsusuri ay mahalaga. Mas inuuna ang mga mas mababang IDSamakatuwid, ang Pahintulutan na panuntunan ay dapat na mauna (ibabang ID) ang I-block ang panuntunan. Pagkatapos ilapat ang mga pagbabago, magagawa mong kumonekta sa WAN IP address ng router sa tinukoy na port mula sa pinapayagang IP address, ngunit ang mga koneksyon mula sa iba pang mga mapagkukunan ay haharangan.
Mga tala ng modelo/firmware: Maaaring mag-iba ang interface sa pagitan ng hardware at mga bersyon. Ang TL-R600VPN ay nangangailangan ng hardware v4 upang masakop ang ilang mga functionAt sa iba't ibang mga sistema, maaaring ilipat ang mga menu. Gayunpaman, pareho ang daloy: uri ng serbisyo → mga IP group → ACL na may Payagan at I-block. Huwag kalimutan i-save at ilapat para magkabisa ang mga patakaran.
Inirerekomendang pag-verify: Mula sa awtorisadong IP address, subukan ssh usuario@IP_WAN at i-verify ang pag-access. Mula sa isa pang IP address, ang port ay dapat na hindi naa-access. (koneksyon na hindi dumarating o tinatanggihan, perpektong walang banner upang maiwasan ang pagbibigay ng mga pahiwatig).
ACL na may Omada Controller: Mga Listahan, Estado, at Mga Halimbawang Sitwasyon
Kung pinamamahalaan mo ang mga gateway ng TP-Link gamit ang Omada Controller, ang lohika ay katulad ngunit may higit pang mga visual na opsyon. Lumikha ng mga pangkat (IP o mga port), tukuyin ang mga gateway ACL, at ayusin ang mga panuntunan upang payagan ang bare minimum at tanggihan ang lahat ng iba pa.
Mga listahan at grupo: sa Mga Setting → Mga Profile → Mga Grupo Maaari kang lumikha ng mga IP group (subnet o host, gaya ng 192.168.0.32/27 o 192.168.30.100/32) at gayundin ang mga port group (halimbawa, HTTP 80 at DNS 53). Pinapasimple ng mga pangkat na ito ang mga kumplikadong tuntunin sa pamamagitan ng muling paggamit ng mga bagay.
Gateway ACL: naka-on Configuration → Network Security → ACL Magdagdag ng mga panuntunan sa LAN→WAN, LAN→LAN o WAN→LAN na direksyon depende sa gusto mong protektahan. Ang patakaran para sa bawat panuntunan ay maaaring Payagan o Tanggihan. at tinutukoy ng order ang aktwal na resulta. Lagyan ng check ang "Paganahin" upang i-activate ang mga ito. Binibigyang-daan ka ng ilang bersyon na iwanang handa at hindi pinagana ang mga panuntunan.
Mga kapaki-pakinabang na kaso (naaangkop sa SSH): payagan lamang ang mga partikular na serbisyo at i-block ang iba pa (hal., Payagan ang DNS at HTTP at pagkatapos ay Tanggihan ang Lahat). Para sa mga whitelist ng pamamahala, gumawa ng Pahintulutan mula sa Mga Pinagkakatiwalaang IP patungo sa "Pahina ng Pamamahala ng Gateway" at pagkatapos ay isang pangkalahatang pagtanggi mula sa iba pang mga network. Kung ang iyong firmware ay may opsyon na iyon. BidirectionalMaaari mong awtomatikong buuin ang kabaligtaran na panuntunan.
Katayuan ng koneksyon: Ang mga ACL ay maaaring maging stateful. Ang mga karaniwang uri ay Bago, Itinatag, Kaugnay, at Di-wastoPinangangasiwaan ng "Bago" ang unang packet (hal., SYN sa TCP), pinangangasiwaan ng "Established" ang dating nakatagpo na bidirectional na trapiko, pinangangasiwaan ng "Related" ang mga umaasang koneksyon (gaya ng mga FTP data channel), at ang "Invalid" ay humahawak ng maanomalyang trapiko. Sa pangkalahatan, pinakamainam na panatilihin ang mga default na setting maliban kung kailangan mo ng karagdagang granularity.
VLAN at segmentation: Omada at SMB routers support unidirectional at bidirectional na mga senaryo sa pagitan ng mga VLANMaaari mong i-block ang Marketing→R&D ngunit payagan ang R&D→Marketing, o i-block ang parehong direksyon at pahintulutan pa rin ang isang partikular na administrator. Ang LAN→LAN na direksyon sa ACL ay ginagamit upang kontrolin ang trapiko sa pagitan ng mga panloob na subnet.
Mga karagdagang pamamaraan at reinforcement: TCP Wrappers, iptables, MikroTik at classic na firewall
Bilang karagdagan sa mga ACL ng router, may iba pang mga layer na dapat ilapat, lalo na kung ang destinasyon ng SSH ay isang server ng Linux sa likod ng router. Pinapayagan ng TCP Wrappers ang pag-filter ayon sa IP gamit ang hosts.allow at hosts.deny sa mga katugmang serbisyo (kabilang ang OpenSSH sa maraming tradisyonal na pagsasaayos).
Kontrolin ang mga file: kung wala ang mga ito, gawin ang mga ito gamit ang sudo touch /etc/hosts.{allow,deny}. Pinakamahusay na kasanayan: tanggihan ang lahat sa hosts.deny at tahasang pinapayagan ito sa mga host.allow. Halimbawa: sa /etc/hosts.deny pon sshd: ALL at sa /etc/hosts.allow idagdag sshd: 203.0.113.10, 198.51.100.0/24Kaya, tanging ang mga IP na iyon ang makakarating sa SSH daemon ng server.
Mga custom na iptable: Kung pinapayagan ito ng iyong router o server, magdagdag ng mga panuntunan na tumatanggap lamang ng SSH mula sa mga partikular na mapagkukunan. Ang isang karaniwang tuntunin ay magiging: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT na sinusundan ng isang default na patakaran sa DROP o isang panuntunan na humaharang sa iba. Sa mga router na may tab ng Mga custom na panuntunan Maaari mong iturok ang mga linyang ito at ilapat ang mga ito gamit ang "I-save at Ilapat".
Pinakamahuhusay na kasanayan sa MikroTik (naaangkop bilang pangkalahatang gabay): baguhin ang mga default na port kung magagawa, i-deactivate ang Telnet (gumamit lamang ng SSH), gumamit ng malalakas na password o, mas mabuti pa, key authenticationLimitahan ang pag-access sa pamamagitan ng IP address gamit ang firewall, paganahin ang 2FA kung sinusuportahan ito ng device, at panatilihing napapanahon ang firmware/RouterOS. Huwag paganahin ang WAN access kung hindi mo ito kailanganSinusubaybayan nito ang mga nabigong pagtatangka at, kung kinakailangan, inilalapat ang mga limitasyon sa bilis ng koneksyon upang pigilan ang mga malupit na pag-atake.
TP-Link Classic Interface (Older Firmware): Mag-log in sa panel gamit ang LAN IP address (default 192.168.1.1) at mga kredensyal ng admin/admin, pagkatapos ay pumunta sa Seguridad → FirewallI-enable ang IP filter at piliin na sundin ng mga hindi natukoy na packet ang gustong patakaran. Pagkatapos, sa Pag-filter ng IP Address, pindutin ang "Magdagdag ng bago" at tukuyin kung aling mga IP ang maaari o hindi maaaring gumamit ng port ng serbisyo sa WAN (para sa SSH, 22/tcp). I-save ang bawat hakbang. Nagbibigay-daan ito sa iyo na maglapat ng pangkalahatang pagtanggi at lumikha ng mga pagbubukod upang payagan lamang ang mga pinagkakatiwalaang IP.
I-block ang mga partikular na IP na may mga static na ruta
Sa ilang mga kaso, kapaki-pakinabang na harangan ang mga papalabas sa mga partikular na IP upang mapabuti ang katatagan sa ilang mga serbisyo (tulad ng streaming). Ang isang paraan upang gawin ito sa maraming TP-Link na device ay sa pamamagitan ng static na pagruruta., na lumilikha ng /32 na mga ruta na umiiwas na maabot ang mga patutunguhan na iyon o idirekta ang mga ito sa paraang hindi sila natupok ng default na ruta (nag-iiba-iba ang suporta ayon sa firmware).
Mga kamakailang modelo: pumunta sa tab Advanced → Network → Advanced Routing → Static Routing at pindutin ang "+ Add". Ilagay ang "Network Destination" na may IP address na harangan, "Subnet Mask" 255.255.255.255, "Default Gateway" ang LAN gateway (karaniwang 192.168.0.1) at "Interface" LAN. Piliin ang "Pahintulutan ang entry na ito" at i-saveUlitin para sa bawat target na IP address depende sa serbisyong gusto mong kontrolin.
Mga lumang firmware: pumunta sa Advanced na pagruruta → Static routing list, pindutin ang "Magdagdag ng bago" at punan ang parehong mga field. I-activate ang katayuan ng ruta at i-saveKumonsulta sa suporta ng iyong serbisyo upang malaman kung aling mga IP ang dapat tratuhin, dahil maaaring magbago ang mga ito.
Pag-verify: Magbukas ng terminal o command prompt at subukan gamit ang ping 8.8.8.8 (o ang patutunguhang IP address na iyong hinarangan). Kung nakikita mo ang "Timeout" o "Destination host unreachable"Gumagana ang pagharang. Kung hindi, suriin ang mga hakbang at i-restart ang router para magkabisa ang lahat ng talahanayan.
Pag-verify, pagsubok, at paglutas ng insidente
Upang i-verify na gumagana ang iyong SSH whitelist, subukang gumamit ng awtorisadong IP address. ssh usuario@IP_WAN -p 22 (o ang port na iyong ginagamit) at kumpirmahin ang pag-access. Mula sa isang hindi awtorisadong IP address, ang port ay hindi dapat mag-alok ng serbisyo.. USA nmap -p 22 IP_WAN upang suriin ang mainit na kondisyon.
Kung may hindi tumutugon ayon sa nararapat, tingnan ang priyoridad ng ACL. Ang mga panuntunan ay pinoproseso nang sunud-sunod, at ang mga may pinakamababang ID ay panalo.Ang isang Deny sa itaas ng iyong Allow ay nagpapawalang-bisa sa whitelist. Gayundin, tingnan kung ang "Uri ng Serbisyo" ay tumuturo sa tamang port at ang iyong "Mga IP Group" ay naglalaman ng mga naaangkop na hanay.
Kung sakaling magkaroon ng kahina-hinalang pag-uugali (nawalan ng koneksyon pagkaraan ng ilang sandali, mga panuntunan na nagbabago sa kanilang sarili, ang trapiko sa LAN na bumaba), isaalang-alang i-update ang firmwareI-disable ang mga serbisyong hindi mo ginagamit (remote web/Telnet/SSH administration), baguhin ang mga kredensyal, tingnan ang MAC cloning kung naaangkop, at sa huli, I-restore sa mga factory setting at i-reconfigure na may kaunting mga setting at isang mahigpit na whitelist.
Compatibility, mga modelo, at mga tala sa availability
Ang pagkakaroon ng mga feature (mga stateful na ACL, profile, whitelist, pag-edit ng PVID sa mga port, atbp.) Maaaring depende ito sa modelo at bersyon ng hardwareSa ilang device, gaya ng TL-R600VPN, available lang ang ilang partikular na kakayahan mula sa bersyon 4 pataas. Ang mga interface ng gumagamit ay nagbabago rin, ngunit ang pangunahing proseso ay pareho: pagharang bilang default, tukuyin ang mga serbisyo at grupo, payagan mula sa mga partikular na IP at i-block ang iba pa.
Sa loob ng TP-Link ecosystem, maraming mga device na kasangkot sa mga network ng enterprise. Kasama sa mga modelong binanggit sa dokumentasyon T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, 2500G-10TS T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G 8, T3216, T3700G-TL T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-2600G, TSL2600G, TSL26028G T3700G-28TQ, T1500G-8T, T1700X-28TQbukod sa iba pa. Tandaan mo yan Ang alok ay nag-iiba ayon sa rehiyon. at ang ilan ay maaaring hindi available sa iyong lugar.
Upang manatiling napapanahon, bisitahin ang pahina ng suporta ng iyong produkto, piliin ang tamang bersyon ng hardware, at suriin mga tala ng firmware at mga teknikal na pagtutukoy kasama ang pinakabagong mga pagpapabuti. Kung minsan, pinapalawak o pinipino ng mga update ang firewall, ACL, o mga feature ng remote na pamamahala.
Isara ang SSH Para sa lahat maliban sa mga partikular na IP, maayos na pag-aayos ng mga ACL at pag-unawa kung anong mekanismo ang kumokontrol sa bawat bagay ay nagliligtas sa iyo mula sa mga hindi kasiya-siyang sorpresa. Sa isang default na patakaran sa pagtanggi, mga tumpak na whitelist, at regular na pag-verifyAng iyong TP-Link router at ang mga serbisyo sa likod nito ay mas mapoprotektahan nang hindi sumusuko sa pamamahala kapag kailangan mo ito.
Mahilig sa teknolohiya mula pa noong bata pa siya. Gustung-gusto kong maging up to date sa sektor at, higit sa lahat, ipaalam ito. Iyon ang dahilan kung bakit ako ay nakatuon sa komunikasyon sa teknolohiya at mga website ng video game sa loob ng maraming taon na ngayon. Makikita mo akong nagsusulat tungkol sa Android, Windows, MacOS, iOS, Nintendo o anumang iba pang nauugnay na paksang naiisip.