Início / server / Perguntas / 661636
Accepted
Moshe Katz
Asked: 2015-01-23 10:36:21 +0800 CST

Encaminhamento de porta para o próprio roteador no Edgerouter

  • 772

Recentemente, atualizei um de meus clientes para um Ubiquiti EdgeRouter Lite, o que é uma melhoria significativa em relação ao antigo roteador fornecido pelo ISP.

Para reduzir a frequência de ataques contra a interface da Web do roteador e ainda permitir a administração remota, uma coisa que fizemos no roteador antigo foi mover o gerenciamento remoto para uma porta não padrão, digamos 8642. No roteador antigo fornecido pelo ISP , havia uma caixa de texto simples para isso, mas no Edgerouter isso deveria ser feito manualmente.

Adicionei uma regra simples de encaminhamento de porta no Edgerouter para encaminhar PUBLIC_IP:8642 para LOCAL_LAN_IP:443, bem como uma regra de firewall correspondente:

name WAN_LOCAL {
     default-action drop
     description "WAN to router"
     ...
     rule 2 {
         action accept
         description "Allow remote management"
         destination {
             group {
                 port-group ManagementPorts
             }
         }
         log disable
         protocol tcp
         state {
             established enable
             invalid disable
             new enable
             related enable
         }
     }
     ...
 }

onde port-group ManagementPortscontido 8642.

No entanto, ainda não consegui acessar a interface da web. A única maneira que encontrei para resolver o problema foi permitir o acesso externo à porta 443também - então o acesso à porta 8642funcionou. No entanto, isso significa que a interface da web agora está disponível externamente em duas portas, a padrão e a que eu quero.

Qual é a configuração correta para fazer isso para que a interface da web esteja disponível internamente 443e externamente 8642?

firewall

2 respostas

  1. Best Answer

    Sua port-group ManagementPortsconfiguração deve especificar o número da porta interna ( 443), em vez do número da porta externa ( 8642). As regras de tradução NAT são aplicadas antes das regras de firewall, portanto, quando chega à sua regra de firewall, está solicitando acesso na porta 443. É por isso que adicionar 443coisas fixas.

    • 2

  2. Concordo que a VPN é uma solução mais segura. No entanto, o que você está pedindo ainda pode ser feito. Se você optar pela solução que está sugerindo, recomendo que também substitua o certificado HTTPS por um certificado válido, que foi assinado por uma CA raiz. Caso contrário, você corre o risco de um ataque man-in-the-middle, porque o certificado autoassinado que acompanha o EdgeRouter é de domínio público. Com VPN, você também deseja instalar um certificado válido.

    Para expor o EdgeRouter da WAN, usando uma porta alternativa, acho que você precisa primeiro alterar a porta web gui. †

    1. Faça login no roteador via ssh/console

    2. Entre no modo de configuração

      configure

    3. Defina a porta da IU da Web; mude 8443 para o que você quiser

      set service gui https-port 8443

    4. Confirme e salve

      commit
save

    Se você precisar de acesso ao Web GUI de um local externo, precisará criar uma regra de firewall para permitir o tráfego.

    1. Crie a regra de firewall para permitir o tráfego de entrada na porta 8443

      edit firewall name WAN_LOCAL rule 50
set description "Inbound traffic to WEB GUI"
set action  accept
set log disable
set protocol tcp_udp
set destination port 8443

    † Atribuição: Dave Lasley

    • 1

relate perguntas