我最近将我的一位客户升级到了 Ubiquiti EdgeRouter Lite,这是对他们旧的 ISP 提供的路由器的重大改进。
为了在允许远程管理的同时减少对路由器 Web 界面的攻击频率,我们在旧路由器上所做的一件事是将远程管理移至非标准端口,比如 8642。在 ISP 提供的旧路由器上,有一个简单的文本框,但在 Edgerouter 上必须手动完成。
我在 Edgerouter 上添加了一个简单的 Port-Forwarding 规则,将 PUBLIC_IP:8642 转发到 LOCAL_LAN_IP:443,以及相应的防火墙规则:
name WAN_LOCAL {
default-action drop
description "WAN to router"
...
rule 2 {
action accept
description "Allow remote management"
destination {
group {
port-group ManagementPorts
}
}
log disable
protocol tcp
state {
established enable
invalid disable
new enable
related enable
}
}
...
}
port-group ManagementPorts
包含在哪里8642
。
但是,我仍然无法访问 Web 界面。我能找到解决问题的唯一方法是允许外部访问端口443
- 然后访问端口8642
工作。但是,这意味着 Web 界面现在可以从外部通过两个端口使用,默认端口和我想要的端口。
这样做的正确配置是什么,以便 Web 界面在内部443
和外部都可用8642
?
您的
port-group ManagementPorts
配置应指定内部端口号 (443
),而不是外部端口号 (8642
)。NAT 转换规则在防火墙规则之前应用,因此当它到达您的防火墙规则时,它正在请求访问 port443
。这就是为什么添加443
固定的东西。我同意 VPN 是一种更安全的解决方案。但是,您所要求的仍然可以完成。如果您采用您建议的解决方案,我强烈建议您也将 HTTPS 证书替换为已由根 CA 签名的有效证书。否则,您将面临中间人攻击的风险,因为 EdgeRouter 附带的自签名证书是公共域。使用 VPN,您还需要安装有效的证书。
要使用备用端口从 WAN 公开 EdgeRouter,我认为您需要首先更改 Web gui 端口。†
进入配置模式
设置 Web UI 端口;将 8443 更改为您想要的任何内容
提交并保存
如果您需要从外部位置访问 Web GUI,则需要创建防火墙规则以允许流量。
创建防火墙规则以允许端口 8443 上的入站流量
† 署名:戴夫·拉斯利