私は最近、顧客の1人をUbiquiti EdgeRouter Liteにアップグレードしました。これは、以前のISP提供のルーターよりも大幅に改善されています。
リモート管理を許可しながらルーターのWebインターフェイスに対する攻撃の頻度を減らすために、古いルーターで行っていたのは、リモート管理を非標準のポートに移動することでした(8642としましょう)。古いISP提供のルーターでは、これには単純なテキストボックスがありましたが、Edgerouterでは手動で行う必要があります。
Edgerouterにシンプルなポート転送ルールを追加して、PUBLIC_IP:8642をLOCAL_LAN_IP:443に転送し、対応するファイアウォールルールも追加しました。
name WAN_LOCAL {
default-action drop
description "WAN to router"
...
rule 2 {
action accept
description "Allow remote management"
destination {
group {
port-group ManagementPorts
}
}
log disable
protocol tcp
state {
established enable
invalid disable
new enable
related enable
}
}
...
}
ここで、port-group ManagementPorts
には8642
が含まれています。
しかし、それでもWebインターフェースにアクセスできませんでした。この問題を解決するために私が見つけた唯一の方法は、ポート443
への外部アクセスも許可することでした。その後、ポート8642
へのアクセスが機能しました。ただし、これは、Webインターフェースが、デフォルトと希望の2つのポートの外部から利用できるようになったことを意味します。
これを行うための正しい構成は何ですか?Webインターフェースは443
で内部的に、外部で8642
で使用できますか?
port-group ManagementPorts
構成では、外部ポート番号(443
)ではなく、内部ポート番号(8642
)を指定する必要があります。 NAT変換ルールはファイアウォールルールの前に適用されるため、ファイアウォールルールに到達するまでに、ポート443
へのアクセスを要求しています。そのため、443
を追加します修正されたもの。
VPNはより安全なソリューションであることに同意します。しかし、あなたが求めていることはまだ可能です。提案しているソリューションを使用する場合は、HTTPS証明書も、ルートCAによって署名された有効な証明書に置き換えることを強くお勧めします。そうしないと、EdgeRouterに同梱される自己署名証明書がパブリックドメインであるため、中間者攻撃の危険にさらされます。 VPNでは、有効な証明書もインストールする必要があります。
EdgeRouterをWANから公開するには、代替ポートを使用して、最初にWeb GUIポートを変更する必要があると思います。 †
構成モードに入る
configure
Web UIポートを設定します。 8443を好きなように変更します
set service gui https-port 8443
コミットして保存
commit
save
外部の場所からWeb GUIにアクセスする必要がある場合は、トラフィックを許可するファイアウォールルールを作成する必要があります。
ポート8443で受信トラフィックを許可するファイアウォールルールを作成する
edit firewall name WAN_LOCAL rule 50
set description "Inbound traffic to WEB GUI"
set action accept
set log disable
set protocol tcp_udp
set destination port 8443
†帰属: Dave Lasley