Как запретить telnet на интерфейсе WAN

[nkly]

У меня роутер Keenetic Extra KN-1714. Версия ОС 4.2.1 На интерфейсе WAN от провайдера установлен серый ip-адрес.
Пытаюсь запретить доступ по telnet к роутеру по серому адресу WAN интерфейса.
В разделе "Пользователи и доступ" для telnet указал нестандартный порт XXXX. (Вариант вообще отключить - не предусмотрен)
В разделе "Межсетевой экран" создал запрещающее правило для интерфейса:
"Запретить протокол tcp, адрес источника - любой, порт источника - любой, адрес назначения - любой, порт назначения - ХХХХ"
Правило применено, но доступ по телнет по серому адресу и порту XXXX все равно есть.
Как запретить доступ к роутеру по телнет по серому адресу???

[slomblobov]

По умолчанию доступ по к WEB или к CLI через Telnet закрыты, поэтому ничего донастраивать не требуется, будь на WAN серый или белый IP.

Разрешить доступ можно на странице /administrator в главе "Удаленное управление", отдельно для WEB и Telnet.

Обращаю внимание, что открывать публичный доступ к telnet не следует, так как при протокол не шифрованный и все ваши действия могут быть подсмотрены, а пароли скомпрометированы.
Только HTTPS и надёжный пароль!

[Le ecureuil]

В 22.10.2024 в 11:51, nkly сказал:

Правило применено, но доступ по телнет по серому адресу и порту XXXX все равно есть.
Как запретить доступ к роутеру по телнет по серому адресу???

Подскажите-ка, как вы вообще это проверяете?

[nkly]

5 часов назад, Le ecureuil сказал:

Подскажите-ка, как вы вообще это проверяете?

Захожу на роутер из локальной сети через web, в разделе "системный монитор" вижу адрес, который мне выдал провайдер. Затем с компьютера в локальной сети делаю

telnet 10.xx.xx.xx 23

и получаю приглашение ввести логин-пароль. После ввода попадаю в систему.

[Denis P]

4 часа назад, nkly сказал:

Захожу на роутер из локальной сети через web, в разделе "системный монитор" вижу адрес, который мне выдал провайдер. Затем с компьютера в локальной сети делаю

telnet 10.xx.xx.xx 23

и получаю приглашение ввести логин-пароль. После ввода попадаю в систему.

Замечательно, только способ не корректный, потому что в этом случае работает nat loopback

[nkly]

21 час назад, Denis P сказал:

Замечательно, только способ не корректный, потому что в этом случае работает nat loopback

Не понимаю причем здесь nat. Я никакого nat не настраивал. Для чего мне какой-либо nat?? Пока такой необходимости нет. В любом случае, имеется доступ по телнет, а "корректный" он или "некорректный" - сути не меняет. Что некорректного в таком способе - мне непонятно. В работе применяю такой способ постоянно.
Ну да ладно. Можете ли вы что-то сказать по сути моего вопроса?

[Denis P]

30 минут назад, nkly сказал:

Не понимаю причем здесь nat. Я никакого nat не настраивал

Вы не настраивали, а он включен по умолчанию. Для доступа к ресурсам роутера по адресу на wan интерфейсе из локальной сети. В данном случае запросы проходят не "снаружи" и реального состояния открытых/закрытых портов это не показывает.

отключается командой
no ip nat loopback

 

30 минут назад, nkly сказал:

В работе применяю такой способ постоянно

То, что вы его применяете, не означает что способ 100% рабочий.

Изменено 26 октября пользователем Denis P

[Le ecureuil]

14 часа назад, nkly сказал:

Не понимаю причем здесь nat. Я никакого nat не настраивал. Для чего мне какой-либо nat?? Пока такой необходимости нет. В любом случае, имеется доступ по телнет, а "корректный" он или "некорректный" - сути не меняет. Что некорректного в таком способе - мне непонятно. В работе применяю такой способ постоянно.
Ну да ладно. Можете ли вы что-то сказать по сути моего вопроса?

По сути - снаружи все закрыто. При доступе к внешнему адресу из локальной сети есть специсключение, и потому работает.

[nkly]

Спасибо за ответы. Я так понимаю для полного контроля нужно пользоваться cli. В Web-интерфейсе не все можно увидеть и настроить.