- Надайте пріоритет політиці заборони за замовчуванням та використовуйте білі списки для SSH.
- Поєднує NAT + ACL: відкриває порт та обмежує за IP-адресою джерела.
- Перевірте за допомогою nmap/ping та дотримуйтесь пріоритету правила (ID).
- Посилюйте систему за допомогою оновлень, SSH-ключів та мінімальних послуг.
¿Як обмежити SSH-доступ до роутера TP-Link лише довіреними IP-адресами? Контроль доступу до вашої мережі через SSH — це не примха, а важливий рівень безпеки. Дозволити доступ лише з довірених IP-адрес Це зменшує поверхню атаки, уповільнює автоматичне сканування та запобігає постійним спробам вторгнення з Інтернету.
У цьому практичному та вичерпному посібнику ви побачите, як це зробити в різних сценаріях з обладнанням TP-Link (SMB та Omada), що враховувати при виборі правил ACL та білих списків, а також як перевірити, чи все належним чином закрито. Ми інтегруємо додаткові методи, такі як TCP Wrappers, iptables та найкращі практики тож ви можете забезпечити безпеку свого середовища, не залишаючи жодних недоробок.
Навіщо обмежувати доступ по SSH на маршрутизаторах TP-Link
Відкриття доступу до Інтернету через SSH відкриває шлях для масованих перехоплень з боку і без того допитливих ботів зі зловмисними намірами. Нерідко після сканування виявляється порт 22, доступний у WAN, як це спостерігалося в [прикладах SSH]. критичні збої в роутерах TP-Link. Просту команду nmap можна використовувати для перевірки, чи відкрито порт 22 для вашої публічної IP-адреси.: виконує щось подібне на зовнішній машині nmap -vvv -p 22 TU_IP_PUBLICA і перевірте, чи з'являється напис "open ssh".
Навіть якщо ви використовуєте відкриті ключі, залишаючи порт 22 відкритим, ви можете проводити подальше дослідження, тестування інших портів та атакувати служби керування. Рішення зрозуміле: забороняти за замовчуванням та вмикати лише з дозволених IP-адрес або діапазонів.Бажано, щоб ви самі фіксували та контролювали це. Якщо вам не потрібне віддалене керування, повністю вимкніть його в глобальній мережі.
Окрім розкриття портів, існують ситуації, коли ви можете підозрювати зміни правил або аномальну поведінку (наприклад, кабельний модем, який через деякий час починає «скидати» вихідний трафік). Якщо ви помітили, що ping, traceroute або перегляд веб-сторінок не проходять повз модем, перевірте налаштування, прошивку та розгляньте можливість відновлення заводських налаштувань. і закривайте все, чим ви не користуєтеся.
Ментальна модель: блокування за замовчуванням та створення білого списку
Філософія перемоги проста: політика заборони за замовчуванням та явні виняткиНа багатьох маршрутизаторах TP-Link з розширеним інтерфейсом ви можете встановити політику віддаленого входу типу Drop у брандмауері, а потім дозволити певні адреси з білого списку для служб керування.
У системах, що містять опції «Політика віддаленого вводу» та «Правила білого списку» (на сторінках «Мережа» – «Брандмауер»), Виключити бренд із політики віддаленого входу І додайте до білого списку публічні IP-адреси у форматі CIDR XXXX/XX, які повинні мати доступ до конфігурації або служб, таких як SSH/Telnet/HTTP(S). Ці записи можуть містити короткий опис, щоб уникнути плутанини пізніше.
Важливо розуміти різницю між механізмами. Переадресація портів (NAT/DNAT) перенаправляє порти на машини локальної мережіХоча «Правила фільтрації» контролюють трафік між мережами WAN та LAN або між мережами, «Правила білого списку» брандмауера регулюють доступ до системи керування маршрутизатором. Правила фільтрації не блокують доступ до самого пристрою; для цього використовуються білі списки або спеціальні правила щодо вхідного трафіку на маршрутизатор.
Для доступу до внутрішніх служб у NAT створюється зіставлення портів, а потім обмежується доступ до цього зіставлення ззовні. Рецепт такий: відкрити потрібний порт, а потім обмежити його за допомогою контролю доступу. що дозволяє прохід лише авторизованим джерелам і блокує решту.
SSH з довірених IP-адрес на TP-Link SMB (ER6120/ER8411 та аналогічні)
У маршрутизаторах SMB, таких як TL-ER6120 або ER8411, звичайний шаблон для реклами локальної служби (наприклад, SSH на внутрішньому сервері) та обмеження її за IP-адресою джерела є двофазним. Спочатку порт відкривається за допомогою віртуального сервера (NAT), а потім його фільтрують за допомогою контролю доступу. на основі груп IP-адрес та типів послуг.
Фаза 1 – Віртуальний сервер: перейдіть до Додатково → NAT → Віртуальний сервер та створює запис для відповідного WAN-інтерфейсу. Налаштуйте зовнішній порт 22 та вкажіть його на внутрішню IP-адресу сервера (наприклад, 192.168.0.2:22)Збережіть правило, щоб додати його до списку. Якщо у вашому випадку використовується інший порт (наприклад, ви змінили SSH на 2222), відповідно змініть значення.
Фаза 2 – Тип послуги: введіть Налаштування → Тип послуги, створіть нову службу під назвою, наприклад, SSH, виберіть TCP або TCP/UDP та визначте порт призначення 22 (діапазон портів джерела може бути від 0 до 65535). Цей рівень дозволить вам чітко посилатися на порт у ACL..
Фаза 3 – Група інтелектуальної власності: перейдіть до Налаштування → Група IP-адрес → IP-адреса і додайте записи як для дозволеного джерела (наприклад, вашої публічної IP-адреси або діапазону з назвою "Access_Client"), так і для ресурсу призначення (наприклад, "SSH_Server" із внутрішньою IP-адресою сервера). Потім пов’яжіть кожну адресу з відповідною IP-групою в тому ж меню.
Фаза 4 – Контроль доступу: в Брандмауер → Контроль доступу Створіть два правила. 1) Дозволити правило: Дозволити політику, щойно визначену службу "SSH", Джерело = IP-група "Access_Client" та призначення = "SSH_Server". Надайте йому ID 1. 2) Правило блокування: Політика блокування за допомогою джерело = IPGROUP_ANY та призначення = "SSH_Server" (або, якщо застосовується) з ID 2. Таким чином, лише довірена IP-адреса або діапазон проходитиме через NAT до вашого SSH; решта буде заблокована.
Порядок оцінювання є життєво важливим. Нижчі ідентифікатори мають пріоритетТаким чином, правило «Дозволити» має передувати правилу «Блокувати» (з нижчим ідентифікатором). Після застосування змін ви зможете підключатися до WAN IP-адреси маршрутизатора на визначеному порту з дозволеної IP-адреси, але підключення з інших джерел будуть заблоковані.
Примітки щодо моделі/прошивки: інтерфейс може відрізнятися залежно від апаратного забезпечення та версії. TL-R600VPN вимагає апаратного забезпечення версії 4 для виконання певних функційА на різних системах меню можуть бути переміщені. Навіть у цьому випадку послідовність дій однакова: тип служби → групи IP → ACL з дозволами та блокуванням. Не забудьте зберегти та застосувати щоб правила набули чинності.
Рекомендована перевірка: З авторизованої IP-адреси спробуйте ssh usuario@IP_WAN та підтвердити доступ. З іншої IP-адреси порт має стати недоступним. (з’єднання, яке не надходить або відхиляється, бажано без банера, щоб уникнути підказок).
ACL з контролером Omada: списки, стани та приклади сценаріїв
Якщо ви керуєте шлюзами TP-Link за допомогою Omada Controller, логіка схожа, але з більшою кількістю візуальних опцій. Створення груп (IP або портів), визначення списків контролю доступу (ACL) шлюзу та впорядкування правил дозволити найнеобхідніше та заперечити все інше.
Списки та групи: у Налаштування → Профілі → Групи Ви можете створювати групи IP-адрес (підмережі або хости, такі як 192.168.0.32/27 або 192.168.30.100/32), а також групи портів (наприклад, HTTP 80 та DNS 53). Ці групи спрощують складні правила шляхом повторного використання об'єктів.
ACL шлюзу: увімкнено Конфігурація → Безпека мережі → ACL Додайте правила з напрямком LAN→WAN, LAN→LAN або WAN→LAN залежно від того, що ви хочете захистити. Політика для кожного правила може мати значення «Дозволити» або «Заборонити». і порядок визначає фактичний результат. Позначте "Увімкнути", щоб активувати їх. Деякі версії дозволяють залишати правила підготовленими та вимкненими.
Корисні випадки (адаптовані до SSH): дозволити лише певні служби та заблокувати решту (наприклад, Дозволити DNS та HTTP, а потім Заборонити все). Для білих списків керування створіть Дозволити з довірених IP-адрес на сторінці «Адміністрування шлюзу». а потім загальна заборона від інших мереж. Якщо ваша прошивка має таку опцію. ДвонаправленийВи можете автоматично згенерувати обернене правило.
Стан з'єднання: ACL можуть бути з урахуванням стану. Поширені типи: нові, усталені, пов'язані та недійсні«Новий» обробляє перший пакет (наприклад, SYN у TCP), «Встановлений» обробляє раніше виявлений двонаправлений трафік, «Пов’язаний» обробляє залежні з’єднання (наприклад, канали даних FTP), а «Недійсний» обробляє аномальний трафік. Зазвичай краще залишати налаштування за замовчуванням, якщо вам не потрібна додаткова деталізація.
VLAN та сегментація: підтримка маршрутизаторів Omada та SMB односпрямовані та двонаправлені сценарії між VLANВи можете заблокувати Маркетинг→Д&Д, але дозволити Д&Д→Маркетинг, або заблокувати обидва напрямки та все одно авторизувати конкретного адміністратора. Напрямок LAN→LAN у ACL використовується для керування трафіком між внутрішніми підмережами.
Додаткові методи та підкріплення: TCP Wrappers, iptables, MikroTik та класичний брандмауер
Окрім ACL маршрутизатора, слід застосовувати й інші рівні, особливо якщо SSH-призначенням є сервер Linux, розташований за маршрутизатором. TCP Wrappers дозволяє фільтрацію за IP-адресою за допомогою hosts.allow та hosts.deny на сумісних сервісах (включаючи OpenSSH у багатьох традиційних конфігураціях).
Керівні файли: якщо вони не існують, створіть їх за допомогою sudo touch /etc/hosts.{allow,deny}. Найкраща практика: заборонити все в hosts.deny і явно дозволяє це в hosts.allow. Наприклад: в /etc/hosts.deny пон sshd: ALL і /etc/hosts.allow додати sshd: 203.0.113.10, 198.51.100.0/24Таким чином, лише ці IP-адреси зможуть зв'язатися з демоном SSH сервера.
Налаштовані iptables: Якщо ваш маршрутизатор або сервер дозволяє, додайте правила, які приймають SSH лише з певних джерел. Типовим правилом було б: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT а потім політика DROP за замовчуванням або правило, яке блокує решту. На маршрутизаторах із вкладкою Індивідуальні правила Ви можете вставити ці лінії та застосувати їх за допомогою "Зберегти та застосувати".
Найкращі практики в MikroTik (застосовуються як загальний посібник): змініть порти за замовчуванням, якщо це можливо, деактивувати Telnet (використовуйте лише SSH), використовуйте надійні паролі або, ще краще, автентифікація ключаОбмежте доступ за IP-адресою за допомогою брандмауера, увімкніть 2FA, якщо пристрій її підтримує, та оновлюйте прошивку/RouterOS. Вимкніть доступ до WAN, якщо він вам не потрібенВін відстежує невдалі спроби та, за необхідності, застосовує обмеження швидкості з'єднання для стримування атак методом повного перебору.
Класичний інтерфейс TP-Link (старіша версія прошивки): Увійдіть до панелі, використовуючи IP-адресу локальної мережі (за замовчуванням 192.168.1.1) та облікові дані адміністратора/адміністратора, потім перейдіть до Безпека → БрандмауерУвімкніть IP-фільтр і виберіть, щоб невизначені пакети відповідали бажаній політиці. Потім, у Фільтрація IP-адрес, натисніть «Додати нове» та визначте які IP-адреси можуть або не можуть використовувати сервісний порт у WAN (для SSH, 22/tcp). Збережіть кожен крок. Це дозволить вам застосувати загальну заборону та створити винятки, щоб дозволити доступ лише довіреним IP-адресам.
Блокування певних IP-адрес за допомогою статичних маршрутів
У деяких випадках корисно блокувати вихідні дані на певні IP-адреси, щоб покращити стабільність роботи з певними сервісами (наприклад, потоковим передаванням). Один зі способів зробити це на кількох пристроях TP-Link – статична маршрутизація., створюючи маршрути /32, які уникають досягнення цих пунктів призначення або спрямовують їх таким чином, щоб вони не використовувалися маршрутом за замовчуванням (підтримка залежить від прошивки).
Останні моделі: перейдіть на вкладку Додатково → Мережа → Розширена маршрутизація → Статична маршрутизація і натисніть «+ Додати». Введіть «Мережевий пункт призначення» з IP-адресою, яку потрібно заблокувати, «Маску підмережі» 255.255.255.255, «Шлюз за замовчуванням» – шлюз локальної мережі (зазвичай 192.168.0.1) та «Інтерфейс» – локальна мережа. Виберіть «Дозволити цей запис» та збережіть зміниПовторіть для кожної цільової IP-адреси залежно від служби, яку ви хочете контролювати.
Старіші прошивки: перейдіть до Розширена маршрутизація → Статичний список маршрутизації, натисніть «Додати нове» та заповніть ті самі поля. Активувати статус маршруту та зберегтиЗверніться до служби підтримки вашого сервісу, щоб дізнатися, які IP-адреси потрібно обробляти, оскільки вони можуть змінюватися.
Перевірка: Відкрийте термінал або командний рядок і перевірте за допомогою ping 8.8.8.8 (або IP-адресу призначення, яку ви заблокували). Якщо ви бачите повідомлення «Час очікування» або «Хост призначення недоступний»Блокування працює. Якщо ні, перегляньте кроки та перезавантажте маршрутизатор, щоб усі таблиці набули чинності.
Верифікація, тестування та вирішення інцидентів
Щоб перевірити, чи працює ваш білий список SSH, спробуйте використати авторизовану IP-адресу. ssh usuario@IP_WAN -p 22 (або порт, який ви використовуєте) та підтвердіть доступ. З неавторизованої IP-адреси порт не повинен пропонувати послугу.. США nmap -p 22 IP_WAN перевірити гарячий стан.
Якщо щось не реагує належним чином, перевірте пріоритет ACL. Правила обробляються послідовно, і перемагають ті, у кого найменший ідентифікатор.Налаштування «Заборонити» вище за ваше «Дозволити» робить білий список недійсним. Також перевірте, чи «Тип служби» вказує на правильний порт, а ваші «Групи IP» містять відповідні діапазони.
У разі підозрілої поведінки (втрата з’єднання через деякий час, правила, що змінюються самостійно, падіння локального трафіку), розгляньте оновити прошивкуВимкніть служби, які ви не використовуєте (віддалене адміністрування через веб/Telnet/SSH), змініть облікові дані, перевірте клонування MAC-адрес, якщо це можливо, і, зрештою, Відновлення до заводських налаштувань та повторне налаштування з мінімальними налаштуваннями та суворим білим списком.
Сумісність, моделі та примітки щодо доступності
Доступність функцій (списки контролю доступу з відстеженням стану, профілі, білі списки, редагування PVID на портах тощо) Це може залежати від моделі та версії обладнанняУ деяких пристроях, таких як TL-R600VPN, певні можливості доступні лише з версії 4. Інтерфейси користувача також змінюються, але основний процес залишається тим самим: блокування за замовчуванням, визначити служби та групи, дозволяти з певних IP-адрес і блокувати решту.
В екосистемі TP-Link існує багато пристроїв, що використовуються в корпоративних мережах. Моделі, згадані в документації, включають T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQсеред інших. Майте на увазі, що Пропозиція залежить від регіону. а деякі можуть бути недоступні у вашому регіоні.
Щоб бути в курсі оновлень, відвідайте сторінку підтримки вашого продукту, виберіть правильну версію обладнання та перевірте примітки до прошивки та технічні характеристики з останніми покращеннями. Іноді оновлення розширюють або вдосконалюють функції брандмауера, ACL або віддаленого керування.
Закрийте SSH Для всіх IP-адрес, окрім певних, правильна організація ACL та розуміння того, який механізм контролює кожну з них, позбавить вас неприємних сюрпризів. З політикою заборони за замовчуванням, точними білими списками та регулярною перевіркоюВаш роутер TP-Link та сервіси, що стоять за ним, будуть набагато краще захищені, і ви не втратите можливості керування, коли вам це потрібно.
Захоплювався технікою з дитинства. Я люблю бути в курсі подій у секторі та, перш за все, повідомляти про це. Ось чому я вже багато років присвячую комунікації на веб-сайтах технологій і відеоігор. Ви можете знайти, як я пишу про Android, Windows, MacOS, iOS, Nintendo або будь-яку іншу пов’язану тему, яка спадає вам на думку.