Edgerouter上のルーター自体へのポート転送

Question

私は最近、顧客の1人をUbiquiti EdgeRouter Liteにアップグレードしました。これは、以前のISP提供のルーターよりも大幅に改善されています。

リモート管理を許可しながらルーターのWebインターフェイスに対する攻撃の頻度を減らすために、古いルーターで行っていたのは、リモート管理を非標準のポートに移動することでした（8642としましょう）。古いISP提供のルーターでは、これには単純なテキストボックスがありましたが、Edgerouterでは手動で行う必要があります。

Edgerouterにシンプルなポート転送ルールを追加して、PUBLIC_IP：8642をLOCAL_LAN_IP：443に転送し、対応するファイアウォールルールも追加しました。

name WAN_LOCAL { default-action drop description "WAN to router" ... rule 2 { action accept description "Allow remote management" destination { group { port-group ManagementPorts } } log disable protocol tcp state { established enable invalid disable new enable related enable } } ... }

ここで、port-group ManagementPortsには8642が含まれています。

しかし、それでもWebインターフェースにアクセスできませんでした。この問題を解決するために私が見つけた唯一の方法は、ポート443への外部アクセスも許可することでした。その後、ポート8642へのアクセスが機能しました。ただし、これは、Webインターフェースが、デフォルトと希望の2つのポートの外部から利用できるようになったことを意味します。

これを行うための正しい構成は何ですか？Webインターフェースは443で内部的に、外部で8642で使用できますか？

jsears · Accepted Answer

port-group ManagementPorts構成では、外部ポート番号（443）ではなく、内部ポート番号（8642）を指定する必要があります。 NAT変換ルールはファイアウォールルールの前に適用されるため、ファイアウォールルールに到達するまでに、ポート443へのアクセスを要求しています。そのため、443を追加します修正されたもの。

jsears · Answer

VPNはより安全なソリューションであることに同意します。しかし、あなたが求めていることはまだ可能です。提案しているソリューションを使用する場合は、HTTPS証明書も、ルートCAによって署名された有効な証明書に置き換えることを強くお勧めします。そうしないと、EdgeRouterに同梱される自己署名証明書がパブリックドメインであるため、中間者攻撃の危険にさらされます。 VPNでは、有効な証明書もインストールする必要があります。

EdgeRouterをWANから公開するには、代替ポートを使用して、最初にWeb GUIポートを変更する必要があると思います。 †

Ssh/console経由でルーターにログイン
構成モードに入る
```
configure 
```
Web UIポートを設定します。 8443を好きなように変更します
```
set service gui https-port 8443 
```
コミットして保存
```
commit save 
```

外部の場所からWeb GUIにアクセスする必要がある場合は、トラフィックを許可するファイアウォールルールを作成する必要があります。

ポート8443で受信トラフィックを許可するファイアウォールルールを作成する

edit firewall name WAN_LOCAL rule 50 set description "Inbound traffic to WEB GUI" set action accept set log disable set protocol tcp_udp set destination port 8443

†帰属： Dave Lasley