今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
我记得 FRP 支持 STCP 和口令, 是否足够安全?
RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事...
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 2134 days ago, the information mentioned may be changed or developed.
63 replies • 2021-02-23 16:24:06 +08:00
 |
1
chuckzhou Jul 22, 2020
用 SSH 开一个 SOCKS5,然后用 MultiDesk 连接 RDP,这个软件支持 SOCKS5 代理。
|
 |
2
xcodeghost Jul 22, 2020  3
既然在国企,建议向 IT 申请合法的方式,如果不批,建议放弃吧。
|
 |
3
lwp2070809 OP @chuckzhou #1 谢谢, 我试用一下这个软件
|
|
4
lwp2070809 OP @xcodeghost #2 我已经放弃了内网穿透公司电脑的想法, 老老实实用公司规定的向日葵了, 现在是想考虑内网穿透家里电脑的方案.
|
 |
5
wangxiaoaer Jul 22, 2020
一直用 Teamview,没啥问题啊。
|
|
6
lwp2070809 OP @wangxiaoaer #5 在我这边可能是由于地区或者运营商的问题, teamviewer 非常的卡, fr 穿透就很流畅, 但是今天看到 v 站的贴子吓得我马上把家里电脑的 frp 给关了
|
 |
7
CallMeReznov Jul 22, 2020
不懂就问,我在用的 SAKURAFRP 里面为什么没有这个模式呢?
|
 |
8
yujiang Jul 22, 2020
可以用下蒲公英,P2P 模式还是挺快的
|
 |
9
zmj1316 Jul 22, 2020 via Android
ms 的 rdp 自带一个 gate 功能吧
|
 |
10
klh Jul 22, 2020
试试 Apache Guacamole ?
|
 |
11
joesonw Jul 22, 2020
用 wireguard 建立对等连接后, 再 rdp?
|
 |
12
kenshin912 Jul 22, 2020
我之前的解决方案是 NAT 出去的 , 不过工作时间只允许内网地址连接 3389 , 其他时间允许任意地址连接 3389 , 不过非工作时间默认是关机状态 , 需要先唤醒电脑再连接.
唤醒是通过映射一台服务器的 UDP 9 端口出去做的. 机器需要 MAC 地址绑定. 否则可能唤醒失败. |
 |
13
Phant0m Jul 22, 2020 via iPhone
fwknop 了解一下( port knocking ), 默认开起五分钟,已经链接上的不会被断开,五分钟后自动删除防火窗规则。
|
 |
14
robertluo11 Jul 22, 2020
我公司产品,remote express
|
 |
15
toou123 Jul 22, 2020
自建 frps,用的时候开端口,不用了把端口关掉……
|
|
16
robertluo11 Jul 22, 2020
|
 |
17
009694 Jul 22, 2020
自带穿透的远程桌面:teamview 向日葵
虚拟局域网:zerotier-one openvpn tinc Nebula |
 |
18
cjpjxjx Jul 22, 2020
贴子说的不是因为服务器数据库密码太简单导致的吗,这和 frp 有什么关系
|
 |
19
jfdnet Jul 22, 2020
我用 zerotier 现在也挺快的了。
|
 |
20
shoreywong Jul 22, 2020 via iPhone
@cjpjxjx #18 对 我是因为 3306
|
 |
21
sikeerwei Jul 22, 2020
就用向日葵呗,向日葵也挺快的
|
 |
22
privil Jul 22, 2020
stcp 外加加密已经足够安全了。
|
|
23
lwp2070809 OP @yujiang #8 之前贴子里面有 SAKURAFRP 前站长可以问问
|
|
24
lwp2070809 OP |
|
25
lwp2070809 OP 感谢诸位回复, 我会逐一尝试这些方案的
|
 |
26
hoyixi Jul 22, 2020
回家办公是加班吗? 何苦呢
|
|
27
yujiang Jul 22, 2020
@lwp2070809 回错人了
|
 |
28
ysc3839 Jul 22, 2020 via Android
rdp 协议本身有 TLS 加密,记一下家里电脑中证书的指纹,连接时确认一致即可确保安全。
|
 |
29
openbsd Jul 22, 2020
为什么不 VPN ?
|
 |
30
xupefei Jul 22, 2020 via iPhone
用 ssh 隧道或 vpn 呗。用一些五花八门的没经过安全审计的方式不害怕吗?
|
 |
31
mxalbert1996 Jul 22, 2020 via Android
|
 |
32
muskill Jul 22, 2020
那个跟 frp 关系不大啊,自己通过 frp 将数据库的端口映射出去,密码设置还那么简单,这能怪谁....
|
 |
33
tanghongkai Jul 22, 2020
@lwp2070809 规定向日葵就向日葵咯,又不是不能用
|
 |
34
FlintyLemming Jul 22, 2020
个人觉得,是否配置 rdp 连接证明书的重要性可能更大
|
 |
35
qwerz Jul 22, 2020
ssh 隧道+ssh 证书登录+ssh 随机高端口
|
 |
36
d5 Jul 22, 2020
国企都有自己的 vpn 硬件吧,别自己瞎搞
|
 |
37
m2276699 Jul 22, 2020
frp 的 stcp 可解决,需要密钥才能互访
|
 |
38
sidkang Jul 22, 2020
yep,stcp 模式即可
|
 |
39
P0P Jul 22, 2020
可以用 wireguard 组成私有局域网,所有内部服务都监听在 wireguard 网络上的端口,接入你的 wireguard 网络的机器之间可以互相无缝访问
|
 |
40
HFX3389 Jul 22, 2020
frp 冤枉啊....自己仅仅是一个端口映射而已....
那个帖子是因为楼主自己把 3306 映射到外网又以弱密码作口令,不被黑我才觉得不正常 (之前好像 B 站有个 UP 主的 NAS 也是这样直接暴露在外网导致整个 NAS 还是整个内网都被勒索病毒加密了) 我现在用 frp 把 3389 映射到公网服务器的 20000 以上端口,每天看日志,啥问题都没有 |
 |
41
JamesR Jul 22, 2020
我直接 VPN 回家,啥事没有。
|
 |
42
tinkerer Jul 22, 2020
nebula
|
 |
43
wxch111vv Jul 23, 2020 via Android
家用宽带申请公网 ip 挂 openvpn 就行了
|
 |
44
laminux29 Jul 23, 2020
题主还是没看懂那个帖子。
那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。 使用弱密码,你的隧道方案再安全也没用。 我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。 |
 |
45
zhhww57 Jul 23, 2020
我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns
|
 |
46
zhouzm Jul 23, 2020
如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp
|
 |
47
tril Jul 23, 2020
这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。
|
 |
48
ruzztok Jul 23, 2020
wireguard
|
 |
49
kruskal Jul 23, 2020
https://github.com/DigitalRuby/IPBan/releases
配置好 IPBAN 防暴力破解 |
|
50
P0P Jul 23, 2020
直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。
|
 |
51
youyoumarco Jul 23, 2020
国企还是老老实实找 IT 解决吧
|
 |
52
leapV3 Jul 23, 2020
端口扫描+暴力穷举
只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上 |
 |
53
lewis89 Jul 23, 2020
openvpn + 路由表 一直都是这种方法..
|
|
54
lewis89 Jul 23, 2020
@leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了
|
 |
55
takemeaway Jul 23, 2020
老老实实用 QQ 远程桌面吧。
教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈 |
 |
56
ulpyxua Jul 23, 2020
QQ 远程不行,QQ 的很多遇到权限的界面无法操作。
|
 |
57
secaas Jul 23, 2020
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
---------- 先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了; 如果真的是刚需,可以去马云家搜索:向日葵 无网远程 目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了 |
 |
58
monkey110 Jul 23, 2020
照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全
|
 |
59
sunnywx Jul 23, 2020
公司的 vpn
|
 |
60
ChangHaoWei Aug 21, 2020
ssh 端口转发不香吗?
|
Select Language