一种从外网安全访问3389远程桌面的方法
3389对外开放谁都知道是有隐患的,但是盖不住windows RDP的体验,假如有公网地址(ipv4或者ipv6),对外直接开放3389是最简单的,但因此被当成肉鸡的例子也举不胜数。假如你前端拥有OPENWRT,实际上是可以通过SSH转发来获得绝对安全的并且便捷的访问方式的。
配套软件只需要一个,那就是大名鼎鼎的MobaXterm
如果你有一定网络经验的话,肯定知道SSH不仅可以远程访问控制台,还能传输文件,也能进行端口转发(假如启用转发功能的话),所以我们可以方便的利用SSH的转发功能来访问。
此外SSH可以通过密码访问还可以通过证书访问,通过证书访问是最安全的方式,因为完全屏蔽了弱密码和被暴力破解的隐患
OPENWRT的SSH是由Dropbear服务提供的,默认采用密码访问方式,下面提供设置流程(ddns设置不在这次流程内,这里假设你已经拥有了一个ddns域名www.xxx.test)
1、进入Openwrt的系统-管理权界面
选择添加一个Dropbear实例,该实例绑定wan或者wan6(根据你自己的ddns是绑定的ipv4还是ipv6),关闭密码登录功能,启用端口转发功能,这样你可以安全的在内网使用一个简单密码来访问openwrt,但是外网访问必须使用秘钥对
在openwrt的防火墙中打开22端口
2、打开MobaXterm生成秘钥对
选择RSA密钥,点击生成,生成的方式是通过鼠标在屏幕移动的随机位置生成的,你只需要用鼠标在屏幕上随机乱移动就可以了,进度条走到底的时候就生成完毕
将公钥复制填入到Openwrt SSH的公钥栏,保存私钥到文件,比如a.key
这样所有配置就完成了
3、访问远程桌面的方式
MobaXterm支持通过SSH转发访问远程桌面
你需要访问的话,随时打开MobaXterm双击就能进入
MobaXterm下载地址,可以自行下载绿色的portable版本
https://mobaxterm.mobatek.net/preview.html
相比较v p n,哪个更方便呢,之前局域网虚拟机黑群晖开opnv可以访问内网,最近又突然不行了,不知道哪里设置出问题。 openssh漏洞不比远程桌面少.
还是wireguard连接内网,省事,安全 xzzfft 发表于 2022-9-18 10:56
相比较v p n,哪个更方便呢,之前局域网虚拟机黑群晖开opnv可以访问内网,最近又突然不行了,不知道哪里设 ...
V的安心省心,NAT出去的方便。 我是直接把默认3389端口改掉 。 本帖最后由 wybb 于 2022-9-18 11:04 编辑
vonsy 发表于 2022-9-18 10:59
openssh漏洞不比远程桌面少.
还是wireguard连接内网,省事,安全
ssh的安全访问方式是主流,就算主流的云服务器,也都是采用密钥的ssh访问方式的,这种方式不需要安装任何系统代理或者驱动,当然方法很多,这个也是推荐给需要的人 本帖最后由 wybb 于 2022-9-18 11:06 编辑
xm23340 发表于 2022-9-18 11:01
我是直接把默认3389端口改掉 。
3389端口改掉也不能提供安全性,只增加自己的麻烦而已,嗅探软件是全范围端口扫描判断协议的,总共就6万多个端口,扫描一下很快的 xzzfft 发表于 2022-9-18 10:56
相比较v p n,哪个更方便呢,之前局域网虚拟机黑群晖开opnv可以访问内网,最近又突然不行了,不知道哪里设 ...
方便肯定这个方便,不需要安装系统级别的虚拟网卡或者底层过滤器,但是看自己的需求了,V P N可以作为全局的代理使用,而这个只是作为端口映射的方式 被勒索一般都是自作聪明关掉了windows update、弱密码、使用低版本有漏洞的应用
排除上面问题开个3389根本不会被搞 AxIaTErN 发表于 2022-9-18 11:07
被勒索一般都是自作聪明关掉了windows update、弱密码、使用低版本有漏洞的应用
排除上面问题开个3389根本 ...
恩,我自己远程桌面就一直弱密码,甚至空密码,因为都是考虑局域网访问为主这样比较方便 只要隔一层,端口不要暴露在公网上被直接扫描到,基本上是不会出问题的,除非是哪个黑客闲着没事儿点对点的攻击你
SSH转发、**、P2P打洞之类的都可以 xm23340 发表于 2022-9-18 11:01
我是直接把默认3389端口改掉 。
单改端口作用不大,现在网络攻击都是全端口扫描 感觉 不如V P N 方便 需要的时候远程开机连一下,用完关机就完事了。
没有真正的安全…… IP绝大多数情况都是动态的,路由器下重新映射端口+强口令+保持系统更新,基本上就没啥问题。 我倒是觉得吧,,你都已经用OPENWRT了,上面再跑个nginX得了。路由的交换里面划个VLAN,做个反代。愿意进一步折腾就结合SSL,把HTTPS二次代理成HTTP方式。端口监听那么一改,比如33389或者53389。这类端口号大部分工具扫到了也会忽视。 wireguard应该比较方便快捷 我东莞电信机房的服务器以前天天被扫
日志里可以看见一大堆爆破我管理员密码的记录
机房IP段肯定是重点照顾对象
改端口是没用的,绝杀的关键词,禁ping 其实微软有自己远程桌面网关这种安全方案,使用的是443端口连接,但要求条件苛刻,一般家用很少使用。 先**到家里,再3389用内网IP就行了,不要映射。 用wireguard类似方案,转内网连接
酸酸乳
懒得升级 。
超过五年 稳如老狗
https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif frp映射出去用
不用的时候去frp管理界面把那一条映射关了 感觉ipv6更安全,速度还快 wireguard能走tcp吗,现在用流量经常感觉wireguard速度被限的一卡一卡的。 感觉网上被搞的电脑或NAS主要还是密码太简单,或没有及时修补 系统漏洞。设置一个强密码加上自己不是关键目标,基本可以无忧。 堡垒机 我自搭一台pfsense 里面开了open**
用了一年多了我觉得挺好[可爱] 把酸酸乳端口对外开放, 然后把需要访问的内网IP走酸酸乳https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif 手机端怎么用这个方式访问?比如IOS的RD Client zerotier最方便
页:
[1]
2