V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
zyt5876
V2EX  ›  NAS

有公网 IP 如何保护自己的 RDP 和 nas 安全

  •  
  •   zyt5876 · 6 天前 · 4214 次点击
    目的地 保护措施 风险等级 风险
    路由器 强密码,改端口 🌟🌟🌟🌟 应该还是比较大,但是我想不到攻击方式
    PVE 的 windows 虚拟机 强密码,
    拒绝 Administrator 远程登录
    [[#设置账户锁定]]
    github 的 IPBAN
    通过端口映射,域名+非 3989 实现访问
    🌟🌟🌟🌟🌟 极度危险,家里所有数据都有风险,因为这个就是我的跳板机
    FnOS 强密码,改端口 🌟🌟 只有 FnOS 虚拟机有危险

    目前我这三个设备/软件暴露出去了。还有什么值得加固的吗?

    华硕路由器自带的 wireguard 来做防护是不可以的,公司不能装 VPN 软件。

    fnos 危险系数低是因为里面重要信息不多。那是我 N100 PVE 小主机里面装的 NAS ,我还有一台黑群晖有用时再通过 IOS 快捷指令开机

    第 1 条附言  ·  6 天前
    很多小伙伴建议用 IP 白名单,想过这个问题,但是偶尔用流量登录,偶尔出差,不是 100%纯公司登录
    第 2 条附言  ·  6 天前
    不可以组网,tailscale ,wirguard 这类组网软件都不行。
    62 条回复    2025-08-31 17:57:50 +08:00
    AkinoKaedeChan
        1
    AkinoKaedeChan  
       6 天前 via iPhone
    你都把 VPN ban 了那就只能用防火墙了,OPNsense 上可以用 Suricata 和 Crowdsec ,有钱买企业级的更好
    jimages
        2
    jimages  
       6 天前
    最优解就是 wg 组网,然后监听到 wg 网卡上。
    zhangeric
        3
    zhangeric  
       6 天前
    rdp 可以上 multiotp 上多步认证.
    deepbytes
        4
    deepbytes  
       6 天前
    RDP 套 SSH ,ssh 禁止密码登录,使用密钥登录,高位端口,调教好的话非常丝滑
    totoro625
        5
    totoro625  
       6 天前   ❤️ 1
    公司公网 IP 一般都是固定的
    实在不行 ddns 放行
    我自己手搓了一个防火墙放行脚本,每 2 分钟获取一次 IP ,自动解除上一次放行的 IP ,并且放行该 IP 地址
    Huelse
        6
    Huelse  
       6 天前
    最安全的就是 wireguard 组网,如果有失联风险就配合 fn connect 的中继连接,其他什么端口都不用开
    coldle
        7
    coldle  
       6 天前   ❤️ 1
    rdp 还可以套个 TOTP: https://inc.sysu.edu.cn/article/1050

    虽然我感觉最靠谱的还是 ip 白名单,动态加白场景可以连到另外的服务里加白 ip ,加白服务本身也要有账密校验,至于要不要在加白服务前边继续套端口敲门埋蜜罐啥的就看个人了,校验层拖长点无所谓,不影响使用
    dode
        8
    dode  
       6 天前
    windows 和 linux 都支持 ssh 密钥远程登录,关闭其他端口,使用 ssh 隧道连接回去
    dode
        9
    dode  
       6 天前
    公司 IP 可能比较固定,使用白名单登录回家
    zyt5876
        10
    zyt5876  
    OP
       6 天前
    @zhangeric 感谢,用上了
    然后去了解一了下它的技术原理,真是美妙至极。
    dany663399
        11
    dany663399  
       6 天前
    rdp+非 3389+强密码 那么请问不安全在哪里
    yinmin
        12
    yinmin  
       6 天前 via iPhone
    web 服务可以前置 https 网关(家用 nginx 或 stunnel 等)启用客户端证书认证,超高安全,win 、mac 、android 、ios 安装上客户端证书后,使用超便捷。

    rdp 服务可以躲在 ssh (密钥认证)后面,windows 、mac 都是内置 ssh ,无需安装第三方软件,一条命令直接将远程服务器的 rdp 映射到客户机 127.0.0.1 本地 tcp 端口,然后 rdp 这个 127.0.0.1 端口即可,也是超高安全的。
    yinmin
        13
    yinmin  
       6 天前 via iPhone
    @dany663399 #11 rdp 担心 0day 漏洞。

    rdp 是有成熟黑产的,目前“盲扫+破解弱密码+勒索病毒”是全自动,如果出现了 0day 漏洞加持,直接能破强密码,后果不堪设想。( rdp 曾经出现过 0day 不用密码直接获取管理员权限)
    nkcfc
        14
    nkcfc  
       6 天前 via Android
    借道问一下 vnc 暴露在公网风险有多大?
    Ipsum
        15
    Ipsum  
       6 天前 via Android
    改 vpn 不就完事了?
    yinmin
        16
    yinmin  
       6 天前 via iPhone   ❤️ 2
    @dany663399 #11 曾经的 rdp 漏洞,有些还是很致命的,强密码对暴力破解有效,但是对协议漏洞无能为力。

    CVE‑2012‑0002 漏洞
    CVE‑2018‑0886 ( CredSSP RCE )漏洞
    CVE-2019-0708 ( BlueKeep )漏洞
    CVE‑2019‑1181 / CVE‑2019‑1182 漏洞
    RDP 叠加输入法提权漏洞

    一般都是不建议将 rdp 直接暴露在公网上的。
    yinmin
        17
    yinmin  
       6 天前 via iPhone
    @nkcfc #14 vnc 也出现过远程攻击的漏洞的,建议放在 vpn 后面。

    最佳实践是:vpn 协议、ssh 协议(仅密钥登录)、tls 协议(开启双向证书认证 或 鉴别 sni )暴露在公网上,其他协议尽量别暴露公网。tcp 协议可以包裹 tls 并开启双向证书认证/sni 鉴别,然后暴露在公网。
    yinmin
        18
    yinmin  
       6 天前 via iPhone   ❤️ 1
    对我的方案感兴趣的,可以把这个页面所有对话内容都 paste 给 gpt4/5 ,gpt 能给出详细说明和部署方案的。
    Ipsum
        19
    Ipsum  
       6 天前 via Android
    没看到不能 vpn 。如果只是 tcp 和 udp 协议,直接 shadowsocks 连回家。或者 ssh 开证书直接 ssh -D 充当 socks 代理,只是 udp 就没法用了。
    swiftg
        20
    swiftg  
       6 天前 via iPhone
    只要暴露端口服务,就有 0day 漏洞攻击的风险。

    我目前在用 ip 敲门的方法,通过中间服务器报告客户端 ip ,家里网关再将 ip 加入到白名单中放行 10 分钟。默认关闭所有端口
    hefish
        21
    hefish  
       6 天前
    有公网 ip 就可以装堡垒机啦。Jumpserver 社区版。 咳咳。
    TsubasaHanekaw
        22
    TsubasaHanekaw  
       6 天前
    你既然公司使用? 为什么不 ip 白名单?
    vibbow
        23
    vibbow  
       6 天前
    限制只允许中国 IP 访问,屏蔽 阿里云/腾讯云/华为云 机房 IP
    sheayone
        24
    sheayone  
       6 天前
    有条件上堡垒机,无条件就藏到 SSH Tunnel (仅密钥/证书登录)后面
    HenryHe613
        25
    HenryHe613  
       6 天前
    @coldle RDP 还可以使用 Duo 进行二步验证
    yulon
        26
    yulon  
       6 天前
    懒得转发端口了,移动端的新客户端也不怎么好用,直接用 Parsec
    billccn
        27
    billccn  
       6 天前
    这个属于“Zero-trust access"的范畴,国外每隔一个大厂都有解决方案,Cloudflare 还是免费的。基本上都能实现服务端不用开放任何端口(使用厂家的内网转发软件),客户端可以用软件也可以用浏览器登陆远程桌面和 SSH 。

    国内一些云也有的,但不可能免费了。
    wuruxu
        28
    wuruxu  
       6 天前
    路由器最好使用证书通过 ssh 登录
    godall
        29
    godall  
       6 天前 via Android
    我是用 2 个方式,ssh 的用密钥登录,web 的用 nginx 加域名反向代理方式,这样 IP 地址不能直接访问 web ,而攻击者一般不知道你的域名是什么的。rdp 没啥好办法,因为用 frps 的话说不定 frps 本身也有漏洞
    gearfox
        30
    gearfox  
       6 天前
    为啥要直接放公网上,直接 easytier 组个网不就好了
    zhq566
        31
    zhq566  
       6 天前
    我是 RDP 和 NAS ,两个都改端口。加证书。复杂用户名和密码。
    DefoliationM
        32
    DefoliationM  
       6 天前 via Android
    不暴露,走 tailscale 。
    zyt5876
        33
    zyt5876  
    OP
       6 天前
    @dany663399 看了日志,这个方案正在被爆破,虽然都还没有猜出我的用户名。后来加了 IPBAN(5 次失败封一天),每天也都还有几十条日志
    guanzhangzhang
        34
    guanzhangzhang  
       6 天前
    不做端口映射暴漏,而是组网,这样只有组网鉴权后设备才能路由到内网
    zyt5876
        35
    zyt5876  
    OP
       6 天前
    @yinmin 非常感谢你,学到了新知识。会按照你说的去做
    amorphobia
        36
    amorphobia  
       6 天前
    @zyt5876 不知道你用的是什么端口,我以前是平移到高的 X3389 ,还是很多试图爆破,但改成一个随机的端口后,接近一年没人爆破了
    n0bin0bita
        37
    n0bin0bita  
       6 天前
    试试开源的堡垒机,HTTPS+密码+二次认证。
    zyt5876
        38
    zyt5876  
    OP
       6 天前
    @amorphobia 我就是平移到高的 X3389 XD
    n0bin0bita
        39
    n0bin0bita  
       6 天前
    用 iPsce 或 L2TP 搭建 VPN windows 自带 VPN 可以直接拨号,不需要安装额外的 VPN 客户端,如果你们只是禁止安装 VPN 客户端而不是禁止所有 VPN 访问的话
    preach
        40
    preach  
       6 天前
    路由器的公网映射 用的时候打开,不用的时候关闭。
    我现在这样
    smartruid
        41
    smartruid  
       6 天前
    不能用 vpn 就 ssh 转发端口呗
    zer
        42
    zer  
       6 天前
    最好还是 vpn ,要不然可能会被运营商警告
    https://v2ex.com/t/1129251
    Kirkcong
        43
    Kirkcong  
       6 天前
    @yinmin #16 你说的这些漏洞都是上古时期的,正常开着 windows 更新并且使用没有 EOL 的系统是不会有问题的。我们服务器 rdp 常年暴露公网,一点问题没有。99.9% rdp 被攻破的案例都是因为弱密码或者撞库导致的。即便真的有 0day 出来,也不会用于大面积扫描的,这样太浪费了。更何况近些年出现的漏洞都是有前置条件的,要么你有普通用户权限(内部提权),要么你已经能访问到机器(输入法绕过 login )。
    desdouble
        44
    desdouble  
    PRO
       6 天前   ❤️ 1
    @zyt5876 #33 你这个方法就足够了,其他的操作效费比就有点低了。除非你是想实践一些方案。

    0day 这种大杀器好贵的,一般在很高 level 的对抗中才会使用。比如,最近的 xu 经理意大利事件中,从美国披露的证据看,即使国家级对抗中也只使用了 exchange 的两个 0day 。

    RDP 设强密码限制失败次数足够了,踏实的搬你的砖去。
    szqh97
        45
    szqh97  
       6 天前
    没有公网 IP 就不用操这个心了
    我是 nas 上装了个 shadowsocks-rust, 用 natmap 做转发,在公司和手机上用 clash 回家
    yimiaoxiehou
        46
    yimiaoxiehou  
       5 天前
    敲门器
    Richared
        47
    Richared  
       5 天前
    路由器我用 routeros 。设置外网不能登录,内网设备我搭建一个 ss 节点,在外边 ip 分流进家里,ssh 设备在加上密钥。
    jakehu
        48
    jakehu  
       5 天前
    openvpn
    ScotGu
        49
    ScotGu  
       5 天前
    需要暴露到互联网得端口 套个 WAF , 其他业务搞非默认端口得远程桌面。
    smsbot
        50
    smsbot  
       5 天前
    不需要搞什么复制的技术,防火墙直接白名单 IP 就是本市几个 IP 段,另开一个远程遥控插头控制开机自启的另一个主机。出差的时候直接开插座,RDP 到另一个主机,再从另一个主机 RDP 到你的大奶机上把出差的 IP 段加到大奶机的 RDP 白名单上就好了。控制 IP 白名单,安全的一匹。我说的白名单不是你公司的那一个 IP ,而是运营商的 IP 段,任何一个城市,不管你多大,你平时的移动联通电信没几个 IP 段,你常用的不超过 4 行。遇到新的再开二奶机加呗。
    imnpc
        51
    imnpc  
       5 天前
    推荐 ddnsto 好像一年 28 ?可以免费试用 7 天
    子域名指向自己内网设备 需要扫码验证才能访问
    但是不支持小米内网路由器

    我用来管理 ikuai 和 iStoreOS
    neroxps
        52
    neroxps  
       5 天前 via iPhone
    原则上越简单的协议越安全。越多功能越多漏洞。
    不套隧道是无法保证相对安全的。套了隧道你又不喜欢,无解
    liuhai233
        53
    liuhai233  
       5 天前
    自建 rustdesk 使用 web 客户端, 配合 cf 大善人穿透到公网
    alfawei
        54
    alfawei  
       5 天前 via iPhone
    走虚拟组网?
    xhcnb
        55
    xhcnb  
       5 天前
    1. 国内 IP 白名单, 可以搭配端口敲门技巧动态管理
    2. vpn 再访问
    3. 绑定域名 https, 拒绝 ip 直接请求, 同时账号绑定 MFA
    desdouble
        56
    desdouble  
    PRO
       5 天前
    @smsbot 我之前的产品做过地域白名单功能,使用了 IP 地理库,经常受到两个问题的困扰。
    1 、库不准。有时使用 4G/5G 热点,IP 地址飘得厉害。
    2 、坐高铁用地域白名单非常痛苦。
    desdouble
        57
    desdouble  
    PRO
       5 天前
    desdouble
        58
    desdouble  
    PRO
       5 天前
    lff0305
        59
    lff0305  
       5 天前
    可以试试端口敲门
    zzutmebwd
        60
    zzutmebwd  
       4 天前
    如果网速快的话,用 sunshine+moonlight 就行了。
    jocover
        61
    jocover  
       4 天前
    我用 vpn 或者反向代理
    flynaj
        62
    flynaj  
       1 天前 via Android
    我的 rdp 默认端口直接暴露到 ipv6 公网上,很多年了没有什么问题。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5342 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 07:28 · PVG 15:28 · LAX 00:28 · JFK 03:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.