这是一个创建于 1908 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
我记得 FRP 支持 STCP 和口令, 是否足够安全?
RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事...
63 条回复 2021-02-23 16:24:06 +08:00
 | 1 chuckzhou 2020-07-22 14:39:53 +08:00 用 SSH 开一个 SOCKS5,然后用 MultiDesk 连接 RDP,这个软件支持 SOCKS5 代理。 |
 | 2 xcodeghost 2020-07-22 14:40:44 +08:00  3 既然在国企,建议向 IT 申请合法的方式,如果不批,建议放弃吧。 |
 | 3 lwp2070809 OP @chuckzhou #1 谢谢, 我试用一下这个软件 |
| 4 lwp2070809 OP @xcodeghost #2 我已经放弃了内网穿透公司电脑的想法, 老老实实用公司规定的向日葵了, 现在是想考虑内网穿透家里电脑的方案. |
 | 5 wangxiaoaer 2020-07-22 14:49:28 +08:00 一直用 Teamview,没啥问题啊。 |
| 6 lwp2070809 OP @wangxiaoaer #5 在我这边可能是由于地区或者运营商的问题, teamviewer 非常的卡, fr 穿透就很流畅, 但是今天看到 v 站的贴子得我马上把家里电脑的 frp 给关了 |
 | 7 CallMeReznov 2020-07-22 14:58:45 +08:00 不懂就问,我在用的 SAKURAFRP 里面为什么没有这个模式呢? |
 | 8 yujiang 2020-07-22 14:59:53 +08:00 可以用下蒲公英,P2P 模式还是挺快的 |
 | 9 zmj1316 2020-07-22 15:25:07 +08:00 via Android ms 的 rdp 自带一个 gate 功能吧 |
 | 10 hiplon 2020-07-22 15:29:44 +08:00 试试 Apache Guacamole ? |
 | 11 joesonw 2020-07-22 15:35:17 +08:00 用 wireguard 建立对等连接后, 再 rdp? |
 | 12 kenshin912 2020-07-22 15:36:21 +08:00 我之前的解决方案是 NAT 出去的 , 不过工作时间只允许内网地址连接 3389 , 其他时间允许任意地址连接 3389 , 不过非工作时间默认是关机状态 , 需要先唤醒电脑再连接. 唤醒是通过映射一台服务器的 UDP 9 端口出去做的. 机器需要 MAC 地址绑定. 否则可能唤醒失败. |
 | 13 Phant0m 2020-07-22 15:37:35 +08:00 via iPhone fwknop 了解一下( port knocking ), 默认开起五分钟,已经链接上的不会被断开,五分钟后自动删除防火窗规则。 |
 | 14 robertluo11 2020-07-22 15:46:12 +08:00 我公司产品,remote express |
 | 15 toou123 2020-07-22 15:47:09 +08:00 自建 frps,用的时候开端口,不用了把端口关掉…… |
| 16 robertluo11 2020-07-22 15:48:20 +08:00 |
 | 17 009694 2020-07-22 15:50:10 +08:00 自带穿透的远程桌面:teamview 向日葵 虚拟局域网:zerotier-one openvpn tinc Nebula |
 | 18 cjpjxjx 2020-07-22 15:52:25 +08:00 贴子说的不是因为服务器数据库密码太简单导致的吗,这和 frp 有什么关系 |
 | 19 jfdnet 2020-07-22 16:04:12 +08:00 我用 zerotier 现在也挺快的了。 |
 | 20 shoreywong 2020-07-22 16:29:19 +08:00 via iPhone @cjpjxjx #18 对 我是因为 3306 |
 | 21 sikeerwei 2020-07-22 16:30:11 +08:00 就用向日葵呗,向日葵也挺快的 |
 | 22 privil 2020-07-22 17:01:11 +08:00 stcp 外加加密已经足够安全了。 |
| 23 lwp2070809 OP @yujiang #8 之前贴子里面有 SAKURAFRP 前站长可以问问 |
| 24 lwp2070809 OP |
| 25 lwp2070809 OP 感谢诸位回复, 我会逐一尝试这些方案的 |
 | 26 hoyixi 2020-07-22 17:07:56 +08:00 回家办公是加班吗? 何苦呢 |
| 27 yujiang 2020-07-22 17:34:59 +08:00 @lwp2070809 回错人了 |
 | 28 ysc3839 2020-07-22 17:49:48 +08:00 via Android rdp 协议本身有 TLS 加密,记一下家里电脑中证书的指纹,连接时确认一致即可确保安全。 |
 | 29 openbsd 2020-07-22 17:53:22 +08:00 为什么不 VPN ? |
 | 30 xupefei 2020-07-22 17:55:56 +08:00 via iPhone 用 ssh 隧道或 vpn 呗。用一些五花八门的没经过安全审计的方式不害怕吗? |
 | 31 mxalbert1996 2020-07-22 18:00:13 +08:00 via Android |
 | 32 muskill 2020-07-22 18:01:14 +08:00 那个跟 frp 关系不大啊,自己通过 frp 将数据库的端口映射出去,密码设置还那么简单,这能怪谁.... |
 | 33 tanghongkai 2020-07-22 18:05:14 +08:00 @lwp2070809 规定向日葵就向日葵咯,又不是不能用 |
 | 34 FlintyLemming 2020-07-22 18:07:08 +08:00 个人觉得,是否配置 rdp 连接证明书的重要性可能更大 |
 | 35 qwerz 2020-07-22 18:11:40 +08:00 ssh 隧道+ssh 证书登录+ssh 随机高端口 |
 | 36 d5 2020-07-22 19:06:21 +08:00 国企都有自己的 vpn 硬件吧,别自己瞎搞 |
 | 37 m2276699 2020-07-22 19:11:57 +08:00 frp 的 stcp 可解决,需要密钥才能互访 |
 | 38 sidkang 2020-07-22 21:03:34 +08:00 yep,stcp 模式即可 |
 | 39 P0P 2020-07-22 21:26:59 +08:00 可以用 wireguard 组成私有局域网,所有内部服务都监听在 wireguard 网络上的端口,接入你的 wireguard 网络的机器之间可以互相无缝访问 |
 | 40 HFX3389 2020-07-22 22:21:07 +08:00 frp 冤枉啊....自己仅仅是一个端口映射而已.... 那个帖子是因为楼主自己把 3306 映射到外网又以弱密码作口令,不被黑我才觉得不正常 (之前好像 B 站有个 UP 主的 NAS 也是这样直接暴露在外网导致整个 NAS 还是整个内网都被勒索病毒加密了) 我现在用 frp 把 3389 映射到公网服务器的 20000 以上端口,每天看日志,啥问题都没有 |
 | 41 JamesR 2020-07-22 23:35:24 +08:00 我直接 VPN 回家,啥事没有。 |
 | 42 tinkerer 2020-07-22 23:36:14 +08:00 nebula |
 | 43 wxch111vv 2020-07-23 00:12:46 +08:00 via Android 家用宽带申请公网 ip 挂 openvpn 就行了 |
 | 44 laminux29 2020-07-23 00:34:41 +08:00 题主还是没看懂那个帖子。 那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。 使用弱密码,你的隧道方案再安全也没用。 我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。 |
 | 45 zhhww57 2020-07-23 03:02:52 +08:00 我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns |
 | 46 zhouzm 2020-07-23 07:32:33 +08:00 如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp |
 | 47 tril 2020-07-23 09:04:10 +08:00 这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。 |
 | 48 ruzztok 2020-07-23 09:17:17 +08:00 wireguard |
 | 49 kruskal 2020-07-23 09:46:15 +08:00 https://github.com/DigitalRuby/IPBan/releases 配置好 IPBAN 防暴力破解 |
| 50 P0P 2020-07-23 10:31:00 +08:00 直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。 |
 | 51 youyoumarco 2020-07-23 10:36:03 +08:00 国企还是老老实实找 IT 解决吧 |
 | 52 leapV3 2020-07-23 10:49:00 +08:00 端口扫描+暴力穷举 只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上 |
 | 53 lewis89 2020-07-23 10:56:50 +08:00 openvpn + 路由表 一直都是这种方法.. |
| 54 lewis89 2020-07-23 10:59:16 +08:00 @leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了 |
 | 55 takemeaway 2020-07-23 11:04:17 +08:00 老老实实用 QQ 远程桌面吧。 教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈 |
 | 56 ulpyxua 2020-07-23 11:25:07 +08:00 QQ 远程不行,QQ 的很多遇到权限的界面无法操作。 |
 | 57 secaas 2020-07-23 11:32:26 +08:00 还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢... ---------- 先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了; 如果真的是刚需,可以去马云家搜索:向日葵 无网远程 目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了 |
 | 58 monkey110 2020-07-23 16:43:25 +08:00 照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全 |
 | 59 284716337 2020-07-23 18:23:20 +08:00 公司的 vpn |
 | 60 ChangHaoWei 2020-08-21 16:35:23 +08:00 ssh 端口转发不香吗? |
Select Language