web-dev-qa-db-ja.com

Edgerouter上のルーター自体へのポート転送

私は最近、顧客の1人をUbiquiti EdgeRouter Liteにアップグレードしました。これは、以前のISP提供のルーターよりも大幅に改善されています。

リモート管理を許可しながらルーターのWebインターフェイスに対する攻撃の頻度を減らすために、古いルーターで行っていたのは、リモート管理を非標準のポートに移動することでした(8642としましょう)。古いISP提供のルーターでは、これには単純なテキストボックスがありましたが、Edgerouterでは手動で行う必要があります。

Edgerouterにシンプルなポート転送ルールを追加して、PUBLIC_IP:8642をLOCAL_LAN_IP:443に転送し、対応するファイアウォールルールも追加しました。

name WAN_LOCAL {
     default-action drop
     description "WAN to router"
     ...
     rule 2 {
         action accept
         description "Allow remote management"
         destination {
             group {
                 port-group ManagementPorts
             }
         }
         log disable
         protocol tcp
         state {
             established enable
             invalid disable
             new enable
             related enable
         }
     }
     ...
 }

ここで、port-group ManagementPortsには8642が含まれています。

しかし、それでもWebインターフェースにアクセスできませんでした。この問題を解決するために私が見つけた唯一の方法は、ポート443への外部アクセスも許可することでした。その後、ポート8642へのアクセスが機能しました。ただし、これは、Webインターフェースが、デフォルトと希望の2つのポートの外部から利用できるようになったことを意味します。

これを行うための正しい構成は何ですか?Webインターフェースは443で内部的に、外部で8642で使用できますか?

2
Moshe Katz

port-group ManagementPorts構成では、外部ポート番号(443)ではなく、内部ポート番号(8642)を指定する必要があります。 NAT変換ルールはファイアウォールルールの前に適用されるため、ファイアウォールルールに到達するまでに、ポート443へのアクセスを要求しています。そのため、443を追加します修正されたもの。

2
jsears

VPNはより安全なソリューションであることに同意します。しかし、あなたが求めていることはまだ可能です。提案しているソリューションを使用する場合は、HTTPS証明書も、ルートCAによって署名された有効な証明書に置き換えることを強くお勧めします。そうしないと、EdgeRouterに同梱される自己署名証明書がパブリックドメインであるため、中間者攻撃の危険にさらされます。 VPNでは、有効な証明書もインストールする必要があります。

EdgeRouterをWANから公開するには、代替ポートを使用して、最初にWeb GUIポートを変更する必要があると思います。 †

  1. Ssh/console経由でルーターにログイン
  2. 構成モードに入る

    configure
    
  3. Web UIポートを設定します。 8443を好きなように変更します

    set service gui https-port 8443
    
  4. コミットして保存

    commit
    save
    

外部の場所からWeb GUIにアクセスする必要がある場合は、トラフィックを許可するファイアウォールルールを作成する必要があります。

  1. ポート8443で受信トラフィックを許可するファイアウォールルールを作成する

    edit firewall name WAN_LOCAL rule 50
    set description "Inbound traffic to WEB GUI"
    set action  accept
    set log disable
    set protocol tcp_udp
    set destination port 8443
    

†帰属: Dave Lasley

1
jsears