Недавно я обновил одного из своих клиентов до Ubiquiti EdgeRouter Lite, что является значительным улучшением по сравнению со старым маршрутизатором, предоставленным интернет-провайдером.
Чтобы снизить частоту атак на веб-интерфейс маршрутизатора, сохранив при этом возможность удаленного администрирования, на старом маршрутизаторе мы переместили удаленное управление на нестандартный порт, скажем, 8642. На старом маршрутизаторе, предоставленном поставщиком Интернет-услуг. , для этого было простое текстовое поле, но на Edgerouter это нужно делать вручную.
Я добавил простое правило перенаправления портов на Edgerouter, чтобы перенаправить PUBLIC_IP: 8642 на LOCAL_LAN_IP: 443, а также соответствующее правило межсетевого экрана:
name WAN_LOCAL {
default-action drop
description "WAN to router"
...
rule 2 {
action accept
description "Allow remote management"
destination {
group {
port-group ManagementPorts
}
}
log disable
protocol tcp
state {
established enable
invalid disable
new enable
related enable
}
}
...
}
где port-group ManagementPorts содержал 8642.
Однако я все еще не мог получить доступ к веб-интерфейсу. Единственный способ решить проблему - разрешить внешний доступ к порту. 443 а также - тогда доступ к порту 8642 работал. Однако это означает, что веб-интерфейс теперь доступен извне на двух портах: по умолчанию и на том, который мне нужен.
Какова правильная конфигурация для этого, чтобы веб-интерфейс был доступен внутри на 443 и внешне на 8642?
Ваш port-group ManagementPorts в конфигурации должен быть указан внутренний номер порта (443), а не номер внешнего порта (8642). Правила трансляции NAT применяются до правил брандмауэра, поэтому к тому моменту, когда оно попадает в правило вашего брандмауэра, оно запрашивает доступ к порту. 443. Вот почему добавление 443 фиксированные вещи.
Я согласен, что VPN - более безопасное решение. Однако то, о чем вы просите, все еще можно сделать. Если вы выберете предлагаемое решение, я настоятельно рекомендую вам также заменить сертификат HTTPS действительным сертификатом, подписанным корневым центром сертификации. В противном случае вы рискуете подвергнуться атаке «человек посередине», поскольку самозаверяющий сертификат, поставляемый с EdgeRouter, является общественным достоянием. При использовании VPN вы также захотите установить действующий сертификат.
Чтобы открыть EdgeRouter из WAN, используя альтернативный порт, я думаю, вам нужно сначала изменить порт веб-интерфейса. †
Войдите в режим настройки
configure
Установите порт веб-интерфейса; измените 8443 на все, что хотите
set service gui https-port 8443
Зафиксировать и сохранить
commit
save
Если вам требуется доступ к веб-интерфейсу из внешнего источника, вам нужно будет создать правило брандмауэра, разрешающее трафик.
Создайте правило брандмауэра, чтобы разрешить входящий трафик на порт 8443
edit firewall name WAN_LOCAL rule 50
set description "Inbound traffic to WEB GUI"
set action accept
set log disable
set protocol tcp_udp
set destination port 8443
† Атрибуция: Дэйв Лэсли