埠轉發到 Edgerouter 上的路由器本身
我最近將我的一位客戶升級到了 Ubiquiti EdgeRouter Lite,這是對他們舊的 ISP 提供的路由器的重大改進。
為了在允許遠端管理的同時減少對路由器 Web 界面的攻擊頻率,我們在舊路由器上所做的一件事是將遠端管理移至非標準埠,比如 8642。在 ISP 提供的舊路由器上,有一個簡單的文本框,但在 Edgerouter 上必須手動完成。
我在 Edgerouter 上添加了一個簡單的 Port-Forwarding 規則,將 PUBLIC_IP:8642 轉發到 LOCAL_LAN_IP:443,以及相應的防火牆規則:
name WAN_LOCAL { default-action drop description "WAN to router" ... rule 2 { action accept description "Allow remote management" destination { group { port-group ManagementPorts } } log disable protocol tcp state { established enable invalid disable new enable related enable } } ... }
port-group ManagementPorts
包含在哪裡8642
。但是,我仍然無法訪問 Web 界面。我能找到解決問題的唯一方法是允許外部訪問埠
443
- 然後訪問埠8642
工作。但是,這意味著 Web 界面現在可以從外部通過兩個埠使用,預設埠和我想要的埠。這樣做的正確配置是什麼,以便 Web 界面在內部
443
和外部都可用8642
?
您的
port-group ManagementPorts
配置應指定內部埠號 (443
),而不是外部埠號 (8642
)。NAT 轉換規則在防火牆規則之前應用,因此當它到達您的防火牆規則時,它正在請求訪問 port443
。這就是為什麼添加443
固定的東西。
我同意 VPN 是一種更安全的解決方案。但是,您所要求的仍然可以完成。如果您使用您建議的解決方案,我強烈建議您也將 HTTPS 證書替換為已由根 CA 簽名的有效證書。否則,您將面臨中間人攻擊的風險,因為 EdgeRouter 附帶的自簽名證書是公共域。使用 VPN,您還需要安裝有效的證書。
要使用備用埠從 WAN 公開 EdgeRouter,我認為您需要首先更改 Web gui 埠。†
- 通過 ssh/console 登錄路由器
- 進入配置模式
configure
- 設置 Web UI 埠;將 8443 更改為您想要的任何內容
set service gui https-port 8443
- 送出並保存
commit save
如果您需要從外部位置訪問 Web GUI,則需要創建防火牆規則以允許流量。
- 創建防火牆規則以允許埠 8443 上的入站流量
edit firewall name WAN_LOCAL rule 50 set description "Inbound traffic to WEB GUI" set action accept set log disable set protocol tcp_udp set destination port 8443
† 署名:戴夫·拉斯利