V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 2107 days ago, the information mentioned may be changed or developed.
今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
我记得 FRP 支持 STCP 和口令, 是否足够安全?
RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事...
63 replies 2021-02-23 16:24:06 +08:00
 | 1 chuckzhou Jul 22, 2020 用 SSH 开一个 SOCKS5,然后用 MultiDesk 连接 RDP,这个软件支持 SOCKS5 代理。 |
 | 2 xcodeghost Jul 22, 2020  3 既然在国企,建议向 IT 申请合法的方式,如果不批,建议放弃吧。 |
 | 3 lwp2070809 OP @chuckzhou #1 谢谢, 我试用一下这个软件 |
| 4 lwp2070809 OP @xcodeghost #2 我已经放弃了内网穿透公司电脑的想法, 老老实实用公司规定的向日葵了, 现在是想考虑内网穿透家里电脑的方案. |
 | 5 wangxiaoaer Jul 22, 2020 一直用 Teamview,没啥问题啊。 |
| 6 lwp2070809 OP @wangxiaoaer #5 在我这边可能是由于地区或者运营商的问题, teamviewer 非常的卡, fr 穿透就很流畅, 但是今天看到 v 站的贴子吓得我马上把家里电脑的 frp 给关了 |
 | 7 CallMeReznov Jul 22, 2020 不懂就问,我在用的 SAKURAFRP 里面为什么没有这个模式呢? |
 | 8 yujiang Jul 22, 2020 可以用下蒲公英,P2P 模式还是挺快的 |
 | 9 zmj1316 Jul 22, 2020 via Android ms 的 rdp 自带一个 gate 功能吧 |
 | 10 klh Jul 22, 2020 试试 Apache Guacamole ? |
 | 11 joesonw Jul 22, 2020 用 wireguard 建立对等连接后, 再 rdp? |
 | 12 kenshin912 Jul 22, 2020 我之前的解决方案是 NAT 出去的 , 不过工作时间只允许内网地址连接 3389 , 其他时间允许任意地址连接 3389 , 不过非工作时间默认是关机状态 , 需要先唤醒电脑再连接. 唤醒是通过映射一台服务器的 UDP 9 端口出去做的. 机器需要 MAC 地址绑定. 否则可能唤醒失败. |
 | 13 Phant0m Jul 22, 2020 via iPhone fwknop 了解一下( port knocking ), 默认开起五分钟,已经链接上的不会被断开,五分钟后自动删除防火窗规则。 |
 | 14 robertluo11 Jul 22, 2020 我公司产品,remote express |
 | 15 toou123 Jul 22, 2020 自建 frps,用的时候开端口,不用了把端口关掉…… |
| 16 robertluo11 Jul 22, 2020 |
 | 17 009694 Jul 22, 2020 自带穿透的远程桌面:teamview 向日葵 虚拟局域网:zerotier-one openvpn tinc Nebula |
 | 18 cjpjxjx Jul 22, 2020 贴子说的不是因为服务器数据库密码太简单导致的吗,这和 frp 有什么关系 |
 | 19 jfdnet Jul 22, 2020 我用 zerotier 现在也挺快的了。 |
 | 20 shoreywong Jul 22, 2020 via iPhone @cjpjxjx #18 对 我是因为 3306 |
 | 21 sikeerwei Jul 22, 2020 就用向日葵呗,向日葵也挺快的 |
 | 22 privil Jul 22, 2020 stcp 外加加密已经足够安全了。 |
| 23 lwp2070809 OP @yujiang #8 之前贴子里面有 SAKURAFRP 前站长可以问问 |
| 24 lwp2070809 OP |
| 25 lwp2070809 OP 感谢诸位回复, 我会逐一尝试这些方案的 |
 | 26 hoyixi Jul 22, 2020 回家办公是加班吗? 何苦呢 |
| 27 yujiang Jul 22, 2020 @lwp2070809 回错人了 |
 | 28 ysc3839 Jul 22, 2020 via Android rdp 协议本身有 TLS 加密,记一下家里电脑中证书的指纹,连接时确认一致即可确保安全。 |
 | 29 openbsd Jul 22, 2020 为什么不 VPN ? |
 | 30 xupefei Jul 22, 2020 via iPhone 用 ssh 隧道或 vpn 呗。用一些五花八门的没经过安全审计的方式不害怕吗? |
 | 31 mxalbert1996 Jul 22, 2020 via Android |
 | 32 muskill Jul 22, 2020 那个跟 frp 关系不大啊,自己通过 frp 将数据库的端口映射出去,密码设置还那么简单,这能怪谁.... |
 | 33 tanghongkai Jul 22, 2020 @lwp2070809 规定向日葵就向日葵咯,又不是不能用 |
 | 34 FlintyLemming Jul 22, 2020 个人觉得,是否配置 rdp 连接证明书的重要性可能更大 |
 | 35 qwerz Jul 22, 2020 ssh 隧道+ssh 证书登录+ssh 随机高端口 |
 | 36 d5 Jul 22, 2020 国企都有自己的 vpn 硬件吧,别自己瞎搞 |
 | 37 m2276699 Jul 22, 2020 frp 的 stcp 可解决,需要密钥才能互访 |
 | 38 sidkang Jul 22, 2020 yep,stcp 模式即可 |
 | 39 P0P Jul 22, 2020 可以用 wireguard 组成私有局域网,所有内部服务都监听在 wireguard 网络上的端口,接入你的 wireguard 网络的机器之间可以互相无缝访问 |
 | 40 HFX3389 Jul 22, 2020 frp 冤枉啊....自己仅仅是一个端口映射而已.... 那个帖子是因为楼主自己把 3306 映射到外网又以弱密码作口令,不被黑我才觉得不正常 (之前好像 B 站有个 UP 主的 NAS 也是这样直接暴露在外网导致整个 NAS 还是整个内网都被勒索病毒加密了) 我现在用 frp 把 3389 映射到公网服务器的 20000 以上端口,每天看日志,啥问题都没有 |
 | 41 JamesR Jul 22, 2020 我直接 VPN 回家,啥事没有。 |
 | 42 tinkerer Jul 22, 2020 nebula |
 | 43 wxch111vv Jul 23, 2020 via Android 家用宽带申请公网 ip 挂 openvpn 就行了 |
 | 44 laminux29 Jul 23, 2020 题主还是没看懂那个帖子。 那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。 使用弱密码,你的隧道方案再安全也没用。 我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。 |
 | 45 zhhww57 Jul 23, 2020 我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns |
 | 46 zhouzm Jul 23, 2020 如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp |
 | 47 tril Jul 23, 2020 这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。 |
 | 48 ruzztok Jul 23, 2020 wireguard |
 | 49 kruskal Jul 23, 2020 https://github.com/DigitalRuby/IPBan/releases 配置好 IPBAN 防暴力破解 |
| 50 P0P Jul 23, 2020 直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。 |
 | 51 youyoumarco Jul 23, 2020 国企还是老老实实找 IT 解决吧 |
 | 52 leapV3 Jul 23, 2020 端口扫描+暴力穷举 只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上 |
 | 53 lewis89 Jul 23, 2020 openvpn + 路由表 一直都是这种方法.. |
| 54 lewis89 Jul 23, 2020 @leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了 |
 | 55 takemeaway Jul 23, 2020 老老实实用 QQ 远程桌面吧。 教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈 |
 | 56 ulpyxua Jul 23, 2020 QQ 远程不行,QQ 的很多遇到权限的界面无法操作。 |
 | 57 secaas Jul 23, 2020 还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢... ---------- 先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了; 如果真的是刚需,可以去马云家搜索:向日葵 无网远程 目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了 |
 | 58 monkey110 Jul 23, 2020 照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全 |
 | 59 sunnywx Jul 23, 2020 公司的 vpn |
 | 60 ChangHaoWei Aug 21, 2020 ssh 端口转发不香吗? |
Select Language