TP-LinkルーターへのSSHアクセスを信頼できるIPに制限する方法

¿TP-Link ルーターへの SSH アクセスを信頼できる IP に制限するにはどうすればよいですか? SSH 経由でネットワークにアクセスできるユーザーを制御することは気まぐれなことではなく、セキュリティの重要な層です。 信頼できるIPアドレスからのアクセスのみを許可する 攻撃対象領域を減らし、自動スキャンを遅くし、インターネットからの継続的な侵入の試みを防ぎます。

この実用的かつ包括的なガイドでは、TP-Link 機器 (SMB および Omada) を使用してさまざまなシナリオで実行する方法、ACL ルールとホワイトリストで考慮すべき事項、すべてが適切に閉じられていることを確認する方法について説明します。 TCPラッパー、iptables、ベストプラクティスなどの追加メソッドを統合します そうすれば、漏れなく環境を保護できます。

TP-LinkルーターでSSHアクセスを制限する理由

SSHをインターネットに公開すると、悪意のある好奇心旺盛なボットによる大規模なスキャンが可能になります。[SSHの例]で観察されているように、スキャン後にWANからアクセス可能なポート22が検出されることは珍しくありません。 TP-Linkルーターの重大な障害. 簡単な nmap コマンドを使用して、パブリック IP アドレスのポート 22 が開いているかどうかを確認できます。: 外部マシンで次のようなものを実行します nmap -vvv -p 22 TU_IP_PUBLICA 「open ssh」が表示されるか確認します。

公開鍵を使用する場合でも、ポート 22 を開いたままにしておくと、さらなる調査、他のポートのテスト、管理サービスの攻撃を招くことになります。 解決策は明確です。デフォルトで拒否し、許可された IP または範囲からのみ有効にします。できればご自身で修正・管理してください。リモート管理が不要な場合は、WAN側で完全に無効にしてください。

ポートの公開に加えて、ルールの変更や異常な動作 (たとえば、ケーブル モデムがしばらくすると送信トラフィックを「ドロップ」し始める) が疑われる状況もあります。 ping、traceroute、またはブラウジングがモデムを通過しないことに気付いた場合は、設定とファームウェアを確認し、工場出荷時の設定に戻すことを検討してください。 使用していないものはすべて閉じてください。

メンタルモデル: デフォルトでブロックし、ホワイトリストを作成する

勝利の哲学はシンプルです。 デフォルトの拒否ポリシーと明示的な例外高度なインターフェースを備えた多くの TP-Link ルーターでは、ファイアウォールでドロップ タイプのリモート イングレス ポリシーを設定し、管理サービスのホワイトリストで特定のアドレスを許可できます。

「リモート入力ポリシー」および「ホワイトリストルール」オプション（ネットワーク - ファイアウォールページ）を含むシステムでは、 リモートエントリーポリシーでブランドを削除 設定やSSH/Telnet/HTTP(S)などのサービスにアクセスできるパブリックIPアドレス（CIDR形式：XXXX/XX）をホワイトリストに追加します。これらのエントリには、後で混乱を避けるために簡単な説明を含めることができます。

メカニズムの違いを理解することが重要です。 ポート転送（NAT/DNAT）はポートをLANマシンにリダイレクトします「フィルタリングルール」はWAN-LAN間またはネットワーク間トラフィックを制御しますが、ファイアウォールの「ホワイトリストルール」はルーターの管理システムへのアクセスを制御します。フィルタリングルールはデバイス自体へのアクセスをブロックするものではありません。アクセスをブロックするには、ルーターへの着信トラフィックに関するホワイトリストまたは特定のルールを使用します。

内部サービスにアクセスするには、NAT でポート マッピングを作成し、外部からそのマッピングにアクセスできるユーザーを制限します。 方法は、必要なポートを開いてから、アクセス制御で制限することです。 許可されたソースのみを通過させ、残りをブロックします。

TP-Link SMB (ER6120/ER8411 および類似製品) の信頼できる IP からの SSH

TL-ER6120 や ER8411 などの SMB ルーターでは、LAN サービス (内部サーバー上の SSH など) をアドバタイズし、それをソース IP で制限するための通常のパターンは 2 フェーズです。 まず、仮想サーバー (NAT) でポートを開き、次にアクセス制御でフィルタリングします。 IP グループとサービス タイプに基づきます。

フェーズ1 – 仮想サーバー: 詳細設定 → NAT → 仮想サーバー 対応する WAN インターフェイスのエントリを作成します。 外部ポート22を設定し、サーバーの内部IPアドレス（例：192.168.0.2:22）を指定します。ルールを保存すると、リストに追加されます。異なるポートを使用している場合（例：SSHを2222に変更した場合）は、それに応じて値を調整してください。

フェーズ2 – サービスタイプ: 入力 設定 → サービスタイプ、例えばSSHという新しいサービスを作成し、 TCPまたはTCP/UDP 宛先ポート 22 を定義します (送信元ポートの範囲は 0 ～ 65535 です)。 このレイヤーにより、ACLでポートをクリーンに参照できるようになります。.

フェーズ3 – IPグループ: 設定 → IPグループ → IPアドレス 許可されたソース (例: パブリック IP または「Access_Client」という名前の範囲) と宛先リソース (例: サーバーの内部 IP を使用した「SSH_Server」) の両方のエントリを追加します。 次に、各アドレスを対応するIPグループに関連付けます。 同じメニュー内。

フェーズ4 – アクセス制御: ファイアウォール → アクセス制御 2つのルールを作成します。1) 許可ルール: 許可ポリシー、新しく定義された「SSH」サービス、 送信元 = IP グループ "Access_Client"、宛先 = "SSH_Server"IDを1にします。2) ブロックルール: ブロックポリシー 送信元 = IPGROUP_ANY、宛先 = "SSH_Server" (または該当する場合) ID 2 を使用します。この方法では、信頼できる IP または範囲のみが NAT を通過して SSH にアクセスし、残りはブロックされます。

評価の順序は重要です。 低いIDが優先されますしたがって、許可ルールはブロックルール（IDが小さい方）よりも前に配置する必要があります。変更を適用すると、許可されたIPアドレスからルーターのWAN IPアドレスに定義されたポートで接続できるようになりますが、他のソースからの接続はブロックされます。

モデル/ファームウェアに関する注記: インターフェイスはハードウェアとバージョンによって異なる場合があります。 TL-R600VPN は特定の機能をカバーするためにハードウェア v4 を必要としますシステムによってはメニューの位置が異なる場合があります。それでも、流れは同じです。サービスタイプ → IPグループ → ACL（許可とブロック）です。忘れないでください。 保存して適用する 規則が発効するため。

推奨される検証: 承認されたIPアドレスから、 ssh usuario@IP_WAN アクセスを確認します。 別の IP アドレスからはポートにアクセスできなくなります。 (到着しないか拒否される接続。手がかりを与えないようにバナーは表示しないのが理想的です)。

Omada コントローラーを使用した ACL: リスト、状態、およびサンプルシナリオ

Omada コントローラーを使用して TP-Link ゲートウェイを管理する場合、ロジックは同様ですが、視覚的なオプションが増えます。 グループ（IPまたはポート）を作成し、ゲートウェイACLを定義し、ルールを整理します。 最低限のことだけを許可し、それ以外はすべて拒否する。

リストとグループ: 設定 → プロフィール → グループ IP グループ (192.168.0.32/27 や 192.168.30.100/32 などのサブネットまたはホスト) とポート グループ (HTTP 80 や DNS 53 など) を作成できます。 これらのグループは複雑なルールを簡素化します オブジェクトを再利用することによって。

ゲートウェイACL: オン 設定 → ネットワークセキュリティ → ACL 保護対象に応じて、LAN→WAN、LAN→LAN、または WAN→LAN 方向のルールを追加します。 各ルールのポリシーは、許可または拒否にすることができます。 順序によって実際の結果が決まります。「有効にする」にチェックを入れると有効になります。バージョンによっては、ルールを無効のままにしておくこともできます。

有用なケース (SSH に適応可能): 特定のサービスのみを許可し、残りをブロックします (例: DNS と HTTP を許可し、すべて拒否)。 管理ホワイトリストの場合は、信頼できるIPから「ゲートウェイ管理ページ」への許可を作成します。 そして、他のネットワークからのアクセスを全体的に拒否します。ファームウェアにそのオプションがある場合に限ります。 双方向逆ルールを自動生成できます。

接続ステータス: ACL はステートフルにできます。 一般的なタイプは、新規、確立、関連、無効です。「新規」は最初のパケット（例：TCPのSYN）を、「確立済み」は以前に検出された双方向トラフィックを、「関連」は依存接続（FTPデータチャネルなど）を、「無効」は異常なトラフィックをそれぞれ処理します。特に詳細な設定が必要な場合を除き、通常はデフォルト設定のままにしておくことをお勧めします。

VLANとセグメンテーション: OmadaとSMBルーターのサポート VLAN間の単方向および双方向のシナリオマーケティング→R&Dをブロックし、R&D→マーケティングを許可したり、両方向をブロックしながら特定の管理者を許可したりすることも可能です。ACLのLAN→LAN方向は、内部サブネット間のトラフィックを制御するために使用されます。

追加の方法と強化策: TCP Wrappers、iptables、MikroTik、従来のファイアウォール

ルーターの ACL に加えて、特に SSH 宛先がルーターの背後にある Linux サーバーである場合は、適用する必要がある他のレイヤーがあります。 TCP Wrappers は、hosts.allow と hosts.deny を使用して IP によるフィルタリングを可能にします。 互換性のあるサービス (多くの従来の構成の OpenSSH を含む) で。

制御ファイル: 存在しない場合は、次のように作成します。 sudo touch /etc/hosts.{allow,deny}. ベストプラクティス: hosts.deny ですべてを拒否する そしてhosts.allowで明示的に許可します。例えば、 /etc/hosts.deny 置く sshd: ALL そして /etc/hosts.allow アヒル sshd: 203.0.113.10, 198.51.100.0/24したがって、それらの IP のみがサーバーの SSH デーモンにアクセスできるようになります。

カスタム iptables: ルーターまたはサーバーで許可されている場合は、特定のソースからの SSH のみを受け入れるルールを追加します。 典型的なルールは: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT デフォルトのDROPポリシー、または残りをブロックするルールが続きます。タブが カスタムルール これらの行を挿入し、「保存して適用」で適用できます。

MikroTikのベストプラクティス（一般的なガイドとして適用可能）：可能な場合はデフォルトのポートを変更する、 Telnetを無効にする （SSHのみを使用する）、強力なパスワードを使用する、あるいは、さらに良い方法として、 鍵認証ファイアウォールを使用して IP アドレスによるアクセスを制限し、デバイスがサポートしている場合は 2FA を有効にし、ファームウェア/RouterOS を最新の状態に保ちます。 必要ない場合はWANアクセスを無効にする失敗した試行を監視し、必要に応じて接続レート制限を適用してブルートフォース攻撃を抑制します。

TP-Linkクラシックインターフェース（旧ファームウェア）：LAN IPアドレス（デフォルト192.168.1.1）と管理者/管理者の資格情報を使用してパネルにログインし、 セキュリティ → ファイアウォールIPフィルタを有効にし、指定されていないパケットが希望のポリシーに従うように選択します。次に、 IPアドレスフィルタリング「新規追加」を押して定義します どのIPがサービスポートを使用できるのか、できないのか WAN側（SSH用、22/tcp）で、各ステップを保存します。これにより、一般的な拒否を適用し、信頼できるIPのみを許可する例外を作成できます。

静的ルートで特定のIPをブロックする

場合によっては、特定のサービス (ストリーミングなど) の安定性を向上させるために、特定の IP への送信をブロックすると便利なことがあります。 複数の TP-Link デバイスでこれを行う 1 つの方法は、静的ルーティングを使用することです。それらの宛先への到達を回避するか、デフォルト ルートによって消費されないように誘導する /32 ルートを作成します (サポートはファームウェアによって異なります)。

最近のモデル: タブに移動 詳細設定 → ネットワーク → 高度なルーティング → 静的ルーティング 「+ 追加」を押します。「ネットワーク宛先」にブロックするIPアドレス、「サブネットマスク」に255.255.255.255、「デフォルトゲートウェイ」にLANゲートウェイ（通常は192.168.0.1）、「インターフェース」にLANを入力します。 「このエントリを許可する」を選択して保存します制御するサービスに応じて、ターゲット IP アドレスごとに繰り返します。

古いファームウェア: 高度なルーティング → 静的ルーティングリスト「新規追加」を押して、同じフィールドに入力します。 ルートステータスを有効にして保存IP は変更される可能性があるため、どの IP を処理するかを確認するには、サービスのサポートにお問い合わせください。

検証: ターミナルまたはコマンドプロンプトを開き、 ping 8.8.8.8 (またはブロックした宛先 IP)。 「タイムアウト」または「宛先ホストに到達できません」と表示された場合はブロッキングは機能しています。機能していない場合は、手順を確認し、ルーターを再起動してすべてのテーブルを有効にしてください。

検証、テスト、インシデント解決

SSH ホワイトリストが機能していることを確認するには、承認された IP アドレスを使用してみてください。 ssh usuario@IP_WAN -p 22 （または使用するポート）を入力してアクセスを確認します。 許可されていない IP アドレスからは、ポートはサービスを提供しません。使用 nmap -p 22 IP_WAN 高温状態を確認します。

何かが期待通りに応答しない場合は、ACL の優先度を確認してください。 ルールは順番に処理され、ID が最も低いルールが勝ちます。許可より上に拒否を設定すると、ホワイトリストが無効になります。また、「サービスタイプ」が正しいポートを指していること、および「IPグループ」に適切な範囲が含まれていることを確認してください。

疑わしい動作（しばらくすると接続が切れる、ルールが勝手に変わる、LANトラフィックが落ちるなど）があった場合は、 ファームウェアを更新する使用していないサービス（リモートWeb/Telnet/SSH管理）を無効にし、資格情報を変更し、該当する場合はMACクローンをチェックし、最終的には、 工場出荷時の設定に復元し、最小限の設定と厳格なホワイトリストで再構成します.

互換性、モデル、および可用性に関する注意事項

機能の可用性 (ステートフル ACL、プロファイル、ホワイトリスト、ポートでの PVID 編集など) ハードウェアのモデルとバージョンによって異なる場合がありますTL-R600VPNなど一部のデバイスでは、特定の機能はバージョン4以降でのみ利用可能です。ユーザーインターフェースも変更されていますが、基本的な手順は同じです。デフォルトでブロックされます。 サービスとグループを定義する特定の IP からのアクセスを許可し、残りをブロックします。

TP-Linkエコシステムには、企業ネットワークに関係する多くのデバイスがあります。ドキュメントに記載されているモデルには以下が含まれます。 T1600G-18TS、T1500G-10PS、TL-SG2216、T2600G-52TS、T2600G-28TS、TL-SG2210P、T2500-28TC、T2700G-28TQ、T2500G-10TS、TL-SG5412F、 T2600G-28MPS、T1500G-10MPS、SG2210P、S4500-8G、T1500-28TC、T1700X-16TS、T1600G-28TS、TL-SL3452、TL-SG3216、T3700G-52TQ、TL-SG2008、 T1700G-28TQ、T1500-28PCT、 T2600G-18TS、T1600G-28PS、T2500G-10MPS、フェスタ FS310GP、T1600G-52MPS、T1600G-52PS、TL-SL2428、T1600G-52TS、T3700G-28TQ、T1500G-8T、T1700X-28TQ他にもいろいろあります。覚えておいてください オファーは地域によって異なります。 お住まいの地域ではご利用いただけないサービスもございます。

最新情報を入手するには、製品のサポートページにアクセスし、正しいハードウェアバージョンを選択して確認してください。 ファームウェアの注意事項と技術仕様 最新の改良点が盛り込まれています。アップデートにより、ファイアウォール、ACL、リモート管理機能が拡張または改良される場合もあります。

閉じる SSH 特定の IP を除くすべての IP については、ACL を適切に整理し、各項目を制御するメカニズムを理解することで、予期せぬ事態を回避できます。 デフォルトの拒否ポリシー、正確なホワイトリスト、定期的な検証によりTP-Link ルーターとその背後にあるサービスは、必要なときに管理を放棄することなく、より強力に保護されます。