我最近把我的一个客户升级到了Ubiquiti EdgeRouter Lite,这是一个比旧的ISP提供的路由器的重大改进。
为了减less对路由器的Web界面的攻击频率,同时仍然允许远程pipe理,我们在旧路由器上做的一件事就是将远程pipe理移动到一个非标准端口,比如说8642.在旧的ISP提供的路由器,有一个简单的文本框,但在Edgerouter上,它必须手工完成。
我在Edgerouter上添加了一个简单的端口转发规则来转发PUBLIC_IP:8642到LOCAL_LAN_IP:443,以及相应的防火墙规则:
name WAN_LOCAL { default-action drop description "WAN to router" ... rule 2 { action accept description "Allow remote management" destination { group { port-group ManagementPorts } } log disable protocol tcp state { established enable invalid disable new enable related enable } } ... } 其中port-group ManagementPorts包含8642 。
但是,我仍然无法访问Web界面。 我能find的解决这个问题的唯一方法是允许外部访问端口443 – 然后访问端口8642工作。 但是,这意味着Web界面现在可以从外部的两个端口,默认和我想要的。
这样做的正确configuration是什么,以便Web界面在443内部是可用的,而在外部是8642 ?
您的port-group ManagementPortsconfiguration应指定内部端口号( 443 ),而不是外部端口号( 8642 )。 NAT转换规则在防火墙规则之前应用,所以当它到达您的防火墙规则时,它将请求在端口443上进行访问。 这就是为什么添加443固定的东西。
我同意VPN是一个更安全的解决scheme。 但是,你所要求的还是可以做的。 如果您使用的是您build议的解决scheme,我强烈build议您也将HTTPS证书replace为由根CA签署的有效证书。 否则,您将面临中间人攻击的风险,因为EdgeRouter附带的自签名证书是公有领域的。 有了VPN,你还需要安装一个有效的证书。
为了从广域网公开EdgeRouter,使用备用端口,我认为你需要先改变web gui端口。 †
进入configuration模式
configure
设置Web UI端口; 改变8443任何你想要的
set service gui https-port 8443
提交并保存
commit save
如果您需要从外部位置访问Web GUI,则需要创build防火墙规则以允许通信。
创build防火墙规则以允许端口8443上的入站stream量
edit firewall name WAN_LOCAL rule 50 set description "Inbound traffic to WEB GUI" set action accept set log disable set protocol tcp_udp set destination port 8443
†归属: Dave Lasley