Firewall

埠轉發到 Edgerouter 上的路由器本身

  • February 24, 2015

我最近將我的一位客戶升級到了 Ubiquiti EdgeRouter Lite,這是對他們舊的 ISP 提供的路由器的重大改進。

為了在允許遠端管理的同時減少對路由器 Web 界面的攻擊頻率,我們在舊路由器上所做的一件事是將遠端管理移至非標準埠,比如 8642。在 ISP 提供的舊路由器上,有一個簡單的文本框,但在 Edgerouter 上必須手動完成。

我在 Edgerouter 上添加了一個簡單的 Port-Forwarding 規則,將 PUBLIC_IP:8642 轉發到 LOCAL_LAN_IP:443,以及相應的防火牆規則:

name WAN_LOCAL {
    default-action drop
    description "WAN to router"
    ...
    rule 2 {
        action accept
        description "Allow remote management"
        destination {
            group {
                port-group ManagementPorts
            }
        }
        log disable
        protocol tcp
        state {
            established enable
            invalid disable
            new enable
            related enable
        }
    }
    ...
}

port-group ManagementPorts包含在哪裡8642

但是,我仍然無法訪問 Web 界面。我能找到解決問題的唯一方法是允許外部訪問埠443- 然後訪問埠8642工作。但是,這意味著 Web 界面現在可以從外部通過兩個埠使用,預設埠和我想要的埠。

這樣做的正確配置是什麼,以便 Web 界面在內部443和外部都可用8642

您的port-group ManagementPorts配置應指定內部埠號 ( 443),而不是外部埠號 ( 8642)。NAT 轉換規則在防火牆規則之前應用,因此當它到達您的防火牆規則時,它正在請求訪問 port 443。這就是為什麼添加443固定的東西。

我同意 VPN 是一種更安全的解決方案。但是,您所要求的仍然可以完成。如果您使用您建議的解決方案,我強烈建議您也將 HTTPS 證書替換為已由根 CA 簽名的有效證書。否則,您將面臨中間人攻擊的風險,因為 EdgeRouter 附帶的自簽名證書是公共域。使用 VPN,您還需要安裝有效的證書。

要使用備用埠從 WAN 公開 EdgeRouter,我認為您需要首先更改 Web gui 埠。†

  1. 通過 ssh/console 登錄路由器
  2. 進入配置模式
configure
  1. 設置 Web UI 埠;將 8443 更改為您想要的任何內容
set service gui https-port 8443
  1. 送出並保存
commit
save

如果您需要從外部位置訪問 Web GUI,則需要創建防火牆規則以允許流量。

  1. 創建防火牆規則以允許埠 8443 上的入站流量
edit firewall name WAN_LOCAL rule 50
set description "Inbound traffic to WEB GUI"
set action  accept
set log disable
set protocol tcp_udp
set destination port 8443

† 署名:戴夫·拉斯利

引用自:https://serverfault.com/questions/661636