我最近将我的一位客户升级到了 Ubiquiti EdgeRouter Lite,这是对他们旧的 ISP 提供的路由器的重大改进。
为了在允许远程管理的同时减少对路由器 Web 界面的攻击频率,我们在旧路由器上所做的一件事是将远程管理移至非标准端口,比如 8642。在 ISP 提供的旧路由器上,有一个简单的文本框,但在 Edgerouter 上必须手动完成。
我在 Edgerouter 上添加了一个简单的 Port-Forwarding 规则,将 PUBLIC_IP:8642 转发到 LOCAL_LAN_IP:443,以及相应的防火墙规则:
name WAN_LOCAL {
default-action drop
description "WAN to router"
...
rule 2 {
action accept
description "Allow remote management"
destination {
group {
port-group ManagementPorts
}
}
log disable
protocol tcp
state {
established enable
invalid disable
new enable
related enable
}
}
...
}
port-group ManagementPorts包含在哪里8642。
但是,我仍然无法访问 Web 界面。我能找到解决问题的唯一方法是允许外部访问端口443- 然后访问端口8642工作。但是,这意味着 Web 界面现在可以从外部通过两个端口使用,默认端口和我想要的端口。
这样做的正确配置是什么,以便 Web 界面在内部443和外部都可用8642?
您的
port-group ManagementPorts配置应指定内部端口号 (443),而不是外部端口号 (8642)。NAT 转换规则在防火墙规则之前应用,因此当它到达您的防火墙规则时,它正在请求访问 port443。这就是为什么添加443固定的东西。我同意 VPN 是一种更安全的解决方案。但是,您所要求的仍然可以完成。如果您采用您建议的解决方案,我强烈建议您也将 HTTPS 证书替换为已由根 CA 签名的有效证书。否则,您将面临中间人攻击的风险,因为 EdgeRouter 附带的自签名证书是公共域。使用 VPN,您还需要安装有效的证书。
要使用备用端口从 WAN 公开 EdgeRouter,我认为您需要首先更改 Web gui 端口。†
进入配置模式
设置 Web UI 端口;将 8443 更改为您想要的任何内容
提交并保存
如果您需要从外部位置访问 Web GUI,则需要创建防火墙规则以允许流量。
创建防火墙规则以允许端口 8443 上的入站流量
† 署名:戴夫·拉斯利