Recentemente, atualizei um dos meus clientes para um Ubiquiti EdgeRouter Lite, que é uma melhoria significativa em relação ao antigo roteador fornecido pelo ISP.
Para reduzir a frequência de ataques contra a interface da Web do roteador e, ao mesmo tempo, permitir a administração remota, uma coisa que fizemos no antigo roteador foi mover o gerenciamento remoto para uma porta não padrão, digamos 8642. No antigo ISP roteador suprido, havia uma caixa de texto simples para isso, mas no Edgerouter ele deve ser feito manualmente.
Eu adicionei uma regra simples de Encaminhamento de Portas no Edgerouter para encaminhar PUBLIC_IP: 8642 para LOCAL_LAN_IP: 443, assim como uma regra de firewall correspondente:
name WAN_LOCAL {
default-action drop
description "WAN to router"
...
rule 2 {
action accept
description "Allow remote management"
destination {
group {
port-group ManagementPorts
}
}
log disable
protocol tcp
state {
established enable
invalid disable
new enable
related enable
}
}
...
}
em que port-group ManagementPorts continha 8642 .
No entanto, ainda não consegui acessar a interface da web. A única maneira que eu poderia encontrar para resolver o problema era permitir o acesso externo à porta 443 também - então o acesso à porta 8642 funcionou. No entanto, isso significa que a interface da web agora está disponível externamente em duas portas, a padrão e a que eu quero.
Qual é a configuração correta para fazer isso para que a interface da Web esteja disponível internamente em 443 e externamente em 8642 ?
Sua configuração port-group ManagementPorts deve especificar o número da porta interna ( 443 ), em vez do número da porta externa ( 8642 ). As regras de conversão de NAT são aplicadas antes das regras de firewall, portanto, quando chegar à sua regra de firewall, ela está solicitando acesso na porta 443 . É por isso que adicionar 443 corrigiu as coisas.
Concordo que a VPN é uma solução mais segura. No entanto, o que você está pedindo ainda pode ser feito. Se você escolher a solução sugerida, é altamente recomendável substituir também o certificado HTTPS por um certificado válido assinado por uma autoridade de certificação raiz. Caso contrário, você corre o risco de um ataque man-in-the-middle, porque o certificado auto-assinado que acompanha o EdgeRouter é de domínio público. Com a VPN, você também desejará instalar um certificado válido.
Para expor o EdgeRouter da WAN, usando uma porta alternativa, eu acho que você precisa primeiro alterar a porta web gui. †
Entre no modo de configuração
configure
Defina a porta da interface do usuário da Web; mudar 8443 para o que você quiser
set service gui https-port 8443
Confirme e salve
commit
save
Se você precisar acessar o Web GUI a partir de um local externo, precisará criar uma regra de firewall para permitir o tráfego.
Crie a regra de firewall para permitir o tráfego de entrada na porta 8443
edit firewall name WAN_LOCAL rule 50
set description "Inbound traffic to WEB GUI"
set action accept
set log disable
set protocol tcp_udp
set destination port 8443
† Atribuição: Dave Lasley