- Birlamchi rad etish siyosatiga ustunlik bering va SSH uchun oq roʻyxatlardan foydalaning.
- NAT + ACL ni birlashtiradi: portni ochadi va manba IP bo'yicha cheklaydi.
- Nmap/ping bilan tasdiqlang va qoida ustuvorligini (ID) hurmat qiling.
- Yangilanishlar, SSH kalitlari va minimal xizmatlar bilan mustahkamlang.
¿TP-Link routeriga SSH kirishini ishonchli IP-larga qanday cheklash mumkin? SSH orqali tarmog'ingizga kim kirishi mumkinligini nazorat qilish injiqlik emas, bu xavfsizlikning muhim qatlamidir. Faqat ishonchli IP manzillardan kirishga ruxsat bering Bu hujum yuzasini pasaytiradi, avtomatik skanerlashni sekinlashtiradi va Internetdan doimiy ravishda kirishga urinishlarning oldini oladi.
Ushbu amaliy va keng qamrovli qo'llanmada siz buni TP-Link uskunalari (SMB va Omada) bilan turli stsenariylarda qanday qilish kerakligini, ACL qoidalari va oq ro'yxatlar bilan nimani e'tiborga olish kerakligini va hamma narsa to'g'ri yopilganligini qanday tekshirishni ko'rasiz. Biz TCP Wrappers, iptables va eng yaxshi amaliyotlar kabi qo'shimcha usullarni birlashtiramiz shuning uchun siz atrof-muhitingizni hech qanday bo'sh uchlarini qoldirmasdan himoya qilishingiz mumkin.
Nima uchun TP-Link routerlarida SSH kirishini cheklash kerak?
SSH-ni Internetga ochish, allaqachon qiziq bo'lgan botlarni zararli niyat bilan keng qamrovli tozalash uchun eshikni ochadi. [SSH misollarida] kuzatilganidek, skanerdan so'ng WAN tarmog'ida foydalanish mumkin bo'lgan 22-portni aniqlash odatiy hol emas. TP-Link routerlarida jiddiy nosozliklar. Oddiy nmap buyrug'i sizning umumiy IP manzilingiz port 22 ochiq yoki yo'qligini tekshirish uchun ishlatilishi mumkin.: tashqi mashinada shunga o'xshash narsani bajaradi nmap -vvv -p 22 TU_IP_PUBLICA va "ochiq ssh" paydo bo'lishini tekshiring.
Agar siz ochiq kalitlardan foydalansangiz ham, 22-portni ochiq qoldirish qo'shimcha tadqiqotlar, boshqa portlarni sinab ko'rish va boshqaruv xizmatlariga hujum qilishni taklif qiladi. Yechim aniq: sukut bo'yicha rad eting va faqat ruxsat etilgan IP yoki diapazonlardan yoqing.O'zingiz o'rnatganingiz va boshqarganingiz ma'qul. Agar sizga masofadan boshqarish kerak bo'lmasa, uni WAN tarmog'ida butunlay o'chirib qo'ying.
Portlarni ochishga qo'shimcha ravishda, siz qoidalar o'zgarishi yoki g'ayritabiiy xatti-harakatlardan shubhalanishingiz mumkin bo'lgan holatlar mavjud (masalan, bir muncha vaqt o'tgach, chiquvchi trafikni "tushira" boshlaydigan kabel modemi). Ping, traceroute yoki brauzer modemga yopishib qolganini sezsangiz, sozlamalarni, proshivkani tekshiring va zavod sozlamalarini tiklashni o'ylab ko'ring. va foydalanmayotgan hamma narsani yoping.
Mental model: sukut bo'yicha blokirovka qiling va oq ro'yxat yarating
G'oliblik falsafasi oddiy: sukut bo'yicha rad etish siyosati va aniq istisnolarKengaytirilgan interfeysga ega ko'plab TP-Link marshrutizatorlarida siz xavfsizlik devorida Drop-tipli masofaviy kirish siyosatini o'rnatishingiz va keyin boshqaruv xizmatlari uchun oq ro'yxatdagi muayyan manzillarga ruxsat berishingiz mumkin.
"Masofadan kiritish siyosati" va "Oq ro'yxat qoidalari" opsiyalarini o'z ichiga olgan tizimlarda (tarmoq - xavfsizlik devori sahifalarida), Masofaviy kirish siyosatida brendni tashlang Va SSH/Telnet/HTTP(S) kabi konfiguratsiya yoki xizmatlarga kirishi kerak bo'lgan CIDR formatidagi XXXX/XX umumiy IP-larni oq ro'yxatga qo'shing. Keyinchalik chalkashmaslik uchun ushbu yozuvlar qisqacha tavsifni o'z ichiga olishi mumkin.
Mexanizmlar orasidagi farqni tushunish juda muhimdir. Portni yo'naltirish (NAT/DNAT) portlarni LAN mashinalariga yo'naltiradi"Filtrlash qoidalari" WAN-to-LAN yoki tarmoqlararo trafikni nazorat qilsa, xavfsizlik devorining "Oq ro'yxat qoidalari" router boshqaruv tizimiga kirishni boshqaradi. Filtrlash qoidalari qurilmaning o'ziga kirishni bloklamaydi; Buning uchun siz oq ro'yxatlardan yoki routerga kiruvchi trafik bilan bog'liq maxsus qoidalardan foydalanasiz.
Ichki xizmatlarga kirish uchun NAT-da port xaritasi yaratiladi va keyin bu xaritaga tashqaridan kim kirishi mumkinligi cheklangan. Retsept: kerakli portni oching va keyin kirishni boshqarish bilan cheklang. bu faqat vakolatli manbalarga o'tishga imkon beradi va qolganlarini bloklaydi.
TP-Link SMB (ER6120/ER8411 va shunga o'xshash) da ishonchli IP-lardan SSH
TL-ER6120 yoki ER8411 kabi SMB marshrutizatorlarida LAN xizmatini (masalan, ichki serverda SSH) reklama qilish va uni manba IP orqali cheklash uchun odatiy naqsh ikki fazali. Birinchidan, port Virtual Server (NAT) bilan ochiladi, so'ngra u Access Control bilan filtrlanadi. IP guruhlari va xizmat turlariga asoslangan.
1-bosqich - Virtual server: o'ting Kengaytirilgan → NAT → Virtual Server va tegishli WAN interfeysi uchun yozuv yaratadi. 22-sonli tashqi portni sozlang va uni serverning ichki IP-manziliga yo'naltiring (masalan, 192.168.0.2:22)Ro'yxatga qo'shish uchun qoidani saqlang. Agar ishingiz boshqa portdan foydalansa (masalan, siz SSH ni 2222 ga o'zgartirgan bo'lsangiz), qiymatni mos ravishda sozlang.
2-bosqich - Xizmat turi: kiriting Afzalliklar → Xizmat turi, yangi xizmat yarating, masalan, SSH, tanlang TCP yoki TCP/UDP va maqsad port 22 ni aniqlang (manba port diapazoni 0–65535 bo'lishi mumkin). Bu qatlam ACLda portga toza havola qilish imkonini beradi.
3-bosqich - IP guruhi: o'ting Afzalliklar → IP guruhi → IP manzili va ruxsat etilgan manba (masalan, umumiy IP manzilingiz yoki “Access_Client” nomli diapazon) va maqsad resurs (masalan, serverning ichki IP manziliga ega “SSH_Server”) uchun yozuvlarni qo‘shing. Keyin har bir manzilni tegishli IP guruhi bilan bog'lang Xuddi shu menyuda.
4-bosqich - Kirish nazorati: ichida Xavfsizlik devori → Kirish nazorati Ikki qoida yarating. 1) Ruxsat berish qoidasi: Ruxsat berish siyosati, yangi belgilangan "SSH" xizmati, Manba = "Access_Client" IP guruhi va maqsad = "SSH_Server". Unga ID 1ni bering. 2) Bloklash qoidasi: bilan bloklash siyosati manba = IPGROUP_ANY va maqsad = "SSH_Server" (yoki tegishlicha) ID 2 bilan. Shunday qilib, faqat ishonchli IP yoki diapazon NAT orqali SSH-ga o'tadi; qolganlari bloklanadi.
Baholash tartibi juda muhimdir. Pastroq identifikatorlar ustuvor hisoblanadiShuning uchun Ruxsat berish qoidasi Bloklash qoidasidan oldin (pastki ID) bo'lishi kerak. O'zgarishlarni qo'llaganingizdan so'ng, ruxsat etilgan IP-manzildan belgilangan portdagi marshrutizatorning WAN IP-manziliga ulanishingiz mumkin, ammo boshqa manbalardan ulanishlar bloklanadi.
Model/proshivka eslatmalari: Interfeys apparat va versiyalarda farq qilishi mumkin. TL-R600VPN muayyan funksiyalarni qoplash uchun v4 uskunasini talab qiladiVa turli tizimlarda menyular boshqa joyga ko'chirilishi mumkin. Shunga qaramay, oqim bir xil: xizmat turi → IP guruhlari → Ruxsat berish va Bloklash bilan ACL. Unutmang saqlang va qo'llang qoidalar kuchga kirishi uchun.
Tavsiya etilgan tekshirish: Ruxsat etilgan IP manzilidan urinib ko'ring ssh usuario@IP_WAN va kirishni tekshiring. Boshqa IP-manzildan portga kirish imkoni bo'lmasligi kerak. (kelmagan yoki rad etilgan ulanish, maslahat bermaslik uchun bannersiz).
Omada Controller bilan ACL: ro'yxatlar, shtatlar va misol stsenariylari
Agar siz TP-Link shlyuzlarini Omada Controller bilan boshqarsangiz, mantiq shunga o'xshash, ammo ko'proq vizual imkoniyatlarga ega. Guruhlar yarating (IP yoki portlar), shlyuz ACLlarini aniqlang va qoidalarni tartibga soling yalang'och minimal ruxsat berish va qolgan hamma narsani inkor qilish.
Ro'yxatlar va guruhlar: in Parametrlar → Profillar → Guruhlar Siz IP guruhlarini (192.168.0.32/27 yoki 192.168.30.100/32 kabi quyi tarmoqlar yoki xostlar) hamda port guruhlarini (masalan, HTTP 80 va DNS 53) yaratishingiz mumkin. Bu guruhlar murakkab qoidalarni soddalashtiradi ob'ektlarni qayta ishlatish orqali.
Gateway ACL: yoqilgan Konfiguratsiya → Tarmoq xavfsizligi → ACL Himoya qilmoqchi bo'lgan narsangizga qarab LAN→WAN, LAN→LAN yoki WAN→LAN yo'nalishi bilan qoidalar qo'shing. Har bir qoida uchun siyosat Ruxsat berish yoki Rad etish boʻlishi mumkin. va tartib haqiqiy natijani belgilaydi. Ularni faollashtirish uchun "Enable" ni belgilang. Ba'zi versiyalar qoidalarni tayyorlangan va o'chirilgan holda qoldirishga imkon beradi.
Foydali holatlar (SSH ga moslashtirilgan): faqat ma'lum xizmatlarga ruxsat bering va qolganlarini bloklang (masalan, DNS va HTTPga ruxsat berish va keyin Hammasini rad etish). Boshqaruv oq roʻyxatlari uchun Ishonchli IP-lardan “Gateway Administration sahifasiga” ruxsat berishni yarating. va keyin boshqa tarmoqlardan umumiy rad etish. Agar proshivkangizda shunday imkoniyat bo'lsa. Ikki tomonlamaSiz avtomatik ravishda teskari qoidani yaratishingiz mumkin.
Ulanish holati: ACLlar holati bo'lishi mumkin. Umumiy turlari: Yangi, Oʻrnatilgan, Oʻzaro bogʻliq va Yaroqsiz"Yangi" birinchi paketni (masalan, TCP-da SYN), "O'rnatilgan" - ilgari duch kelgan ikki tomonlama trafikni, "Aloqador" - bog'liq ulanishlarni (masalan, FTP ma'lumotlar kanallari) va "Yaroqsiz" anomal trafikni boshqaradi. Agar qo'shimcha noziklikni talab qilmasangiz, odatda standart sozlamalarni saqlab qo'yganingiz ma'qul.
VLAN va segmentatsiya: Omada va SMB routerlarini qo'llab-quvvatlaydi VLANlar o'rtasida bir tomonlama va ikki tomonlama stsenariylarSiz Marketing → R&D ni bloklashingiz mumkin, lekin R&D → Marketingga ruxsat berishingiz yoki ikkala yo'nalishni ham bloklashingiz va baribir ma'lum bir administratorga ruxsat berishingiz mumkin. ACLdagi LAN→LAN yo'nalishi ichki pastki tarmoqlar orasidagi trafikni boshqarish uchun ishlatiladi.
Qo'shimcha usullar va qo'shimchalar: TCP Wrappers, iptables, MikroTik va klassik xavfsizlik devori
Routerning ACL-lariga qo'shimcha ravishda, qo'llanilishi kerak bo'lgan boshqa qatlamlar ham mavjud, ayniqsa SSH manzili yo'riqnoma ortidagi Linux serveri bo'lsa. TCP Wrappers hosts.allow va hosts.deny bilan IP orqali filtrlash imkonini beradi mos keladigan xizmatlarda (shu jumladan, ko'plab an'anaviy konfiguratsiyalarda OpenSSH).
Boshqaruv fayllari: agar ular mavjud bo'lmasa, ularni yarating sudo touch /etc/hosts.{allow,deny}. Eng yaxshi amaliyot: hosts.deny da hamma narsani inkor etish va hosts.allow da bunga aniq ruxsat beradi. Masalan: in /etc/hosts.deny pon sshd: ALL va /etc/hosts.allow qo'shish sshd: 203.0.113.10, 198.51.100.0/24Shunday qilib, faqat o'sha IP-lar serverning SSH demoniga kira oladi.
Maxsus iptables: Agar marshrutizatoringiz yoki serveringiz ruxsat bersa, faqat ma'lum manbalardan SSH qabul qiladigan qoidalarni qo'shing. Oddiy qoida bo'ladi: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT keyin standart DROP siyosati yoki qolganlarini bloklaydigan qoida. yorlig'i bo'lgan marshrutizatorlarda Maxsus qoidalar Siz ushbu chiziqlarni kiritishingiz va ularni "Saqlash va qo'llash" bilan qo'llashingiz mumkin.
MikroTik-dagi eng yaxshi amaliyotlar (umumiy qo'llanma sifatida qo'llaniladi): agar iloji bo'lsa, standart portlarni o'zgartiring, Telnet-ni o'chiring (faqat SSH dan foydalaning), kuchli parollardan foydalaning yoki yaxshiroq, kalitni autentifikatsiya qilishXavfsizlik devori yordamida IP-manzil orqali kirishni cheklang, agar qurilma uni qo'llab-quvvatlasa, 2FA-ni yoqing va proshivka/RouterOS-ni yangilab turing. Agar kerak bo'lmasa, WAN-ga kirishni o'chiringU muvaffaqiyatsiz urinishlarni kuzatib boradi va agar kerak bo'lsa, qo'pol kuch hujumlarini cheklash uchun ulanish tezligi chegaralarini qo'llaydi.
TP-Link Classic interfeysi (eski proshivka): LAN IP manzili (standart 192.168.1.1) va administrator/administrator hisob ma’lumotlari yordamida panelga kiring, so‘ngra quyidagiga o‘ting. Xavfsizlik → Xavfsizlik devoriIP filtrini yoqing va aniqlanmagan paketlar kerakli siyosatga amal qilishini tanlang. Keyin, ichida IP manzilini filtrlash, "Yangisini qo'shish" tugmasini bosing va belgilang qaysi IP-lar xizmat portidan foydalana oladi yoki foydalana olmaydi WAN-da (SSH uchun, 22/tcp). Har bir qadamni saqlang. Bu sizga umumiy rad etishni qo'llash va faqat ishonchli IP-larga ruxsat berish uchun istisnolar yaratish imkonini beradi.
Statik marshrutlar bilan muayyan IP-larni bloklash
Ba'zi hollarda ma'lum xizmatlar (masalan, oqim) bilan barqarorlikni yaxshilash uchun ma'lum IP-larga chiqishni bloklash foydali bo'ladi. Buni bir nechta TP-Link qurilmalarida qilishning bir usuli statik marshrutlashdir., /32 marshrutlarni yaratish, bu manzillarga etib bormaslik yoki ularni standart marshrutda ishlatilmaydigan tarzda yo'naltirish (qo'llab-quvvatlash proshivkaga qarab farq qiladi).
So'nggi modellar: yorlig'iga o'ting Kengaytirilgan → Tarmoq → Kengaytirilgan marshrutlash → Statik marshrutlash va "+ Qo'shish" tugmasini bosing. Bloklash uchun IP manzili bilan "Tarmoq manzili", "Subnet Mask" 255.255.255.255, "Standart shlyuz" LAN shlyuzi (odatda 192.168.0.1) va "Interfeys" LAN ni kiriting. "Ushbu kirishga ruxsat berish" ni tanlang va saqlangBoshqarmoqchi bo'lgan xizmatga qarab, har bir maqsadli IP-manzil uchun takrorlang.
Eski mikrodasturlar: o'ting Kengaytirilgan marshrutlash → Statik marshrutlash ro'yxati, "Yangisini qo'shish" tugmasini bosing va bir xil maydonlarni to'ldiring. Marshrut holatini faollashtiring va saqlangQaysi IP-larni davolash kerakligini bilish uchun xizmatingizning yordamiga murojaat qiling, chunki ular o'zgarishi mumkin.
Tekshirish: Terminal yoki buyruq satrini oching va u bilan sinab ko'ring ping 8.8.8.8 (yoki siz bloklagan maqsad IP). Agar “Vaqt tugashi” yoki “Maqsad hostiga kirish imkoni yo‘q”ni ko‘rsangizBloklash ishlamoqda. Agar yo'q bo'lsa, barcha jadvallar kuchga kirishi uchun qadamlarni ko'rib chiqing va marshrutizatorni qayta ishga tushiring.
Tekshirish, sinovdan o'tkazish va hodisani hal qilish
SSH oq roʻyxati ishlayotganligini tekshirish uchun ruxsat berilgan IP manzilidan foydalanib koʻring. ssh usuario@IP_WAN -p 22 (yoki siz foydalanadigan port) va kirishni tasdiqlang. Ruxsatsiz IP manzildan port xizmatni taklif qilmasligi kerak.. AQSH nmap -p 22 IP_WAN issiq holatni tekshirish uchun.
Agar biror narsa kerakli darajada javob bermasa, ACL ustuvorligini tekshiring. Qoidalar ketma-ket qayta ishlanadi va eng kam IDga ega bo'lganlar g'alaba qozonadi.Ruxsat berishdan yuqoridagi Rad etish oq ro‘yxatni bekor qiladi. Shuningdek, "Xizmat turi" to'g'ri portga ishora qilishini va "IP guruhlaringiz" tegishli diapazonlarni o'z ichiga olganligini tekshiring.
Shubhali xatti-harakatlar sodir bo'lsa (bir muncha vaqt o'tgach, ulanish yo'qoladi, qoidalar o'z-o'zidan o'zgaradi, LAN trafiki pasayadi) proshivka dasturini yangilangSiz foydalanmayotgan xizmatlarni o'chirib qo'ying (masofaviy veb/Telnet/SSH boshqaruvi), hisob ma'lumotlarini o'zgartiring, agar kerak bo'lsa MAC klonlashni tekshiring va oxir-oqibat, Zavod sozlamalarini tiklang va minimal sozlamalar va qat'iy oq ro'yxat bilan qayta sozlang.
Moslik, modellar va mavjudligi haqida eslatmalar
Xususiyatlarning mavjudligi (statistik ACLlar, profillar, oq ro'yxatlar, portlarda PVID tahrirlash va boshqalar) Bu apparat modeli va versiyasiga bog'liq bo'lishi mumkinTL-R600VPN kabi ba'zi qurilmalarda ma'lum imkoniyatlar faqat 4-versiyadan boshlab mavjud. Foydalanuvchi interfeyslari ham o'zgaradi, lekin asosiy jarayon bir xil: sukut bo'yicha blokirovka qilish, xizmatlar va guruhlarni aniqlash, muayyan IP-lardan ruxsat bering va qolganlarini bloklang.
TP-Link ekotizimida korporativ tarmoqlarda ishtirok etadigan ko'plab qurilmalar mavjud. Hujjatlarda keltirilgan modellar o'z ichiga oladi T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS4F, TL2- T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T32TQ05- T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2420G, T3700G-28TQ, T1500G-8T, T1700X-28TQboshqalar qatorida. Shuni yodda tuting Taklif mintaqaga qarab farq qiladi. va ba'zilari sizning hududingizda mavjud bo'lmasligi mumkin.
Yangilanishlardan xabardor bo‘lish uchun mahsulotingizning qo‘llab-quvvatlash sahifasiga tashrif buyuring, to‘g‘ri uskuna versiyasini tanlang va tekshiring proshivka eslatmalari va texnik xususiyatlar so'nggi yaxshilanishlar bilan. Ba'zan yangilanishlar xavfsizlik devori, ACL yoki masofadan boshqarish xususiyatlarini kengaytiradi yoki yaxshilaydi.
Yopish sSH Muayyan IP-lardan tashqari barcha uchun ACL-larni to'g'ri tashkil qilish va har bir narsani qanday mexanizm boshqarishini tushunish sizni yoqimsiz kutilmagan hodisalardan qutqaradi. Birlamchi rad etish siyosati, aniq oq roʻyxatlar va muntazam tekshirish bilanTP-Link routeringiz va uning orqasidagi xizmatlar sizga kerak bo'lganda boshqaruvdan voz kechmasdan ancha yaxshi himoyalangan bo'ladi.
Kichkinaligidan texnologiyaga ishtiyoqi baland. Men ushbu sohada yangi bo'lishni va birinchi navbatda u bilan muloqot qilishni yaxshi ko'raman. Shuning uchun men ko'p yillar davomida texnologiya va video o'yin veb-saytlarida muloqot qilishga bag'ishlanganman. Siz meni Android, Windows, MacOS, iOS, Nintendo yoki xayolingizga keladigan boshqa mavzular haqida yozishim mumkin.