V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huaes
V2EX  ›  宽带症候群

路由器还是别开任何端口转发到 RDP 服务了,有事直接 openVPN 连回内网

  •  
  •   huaes · 2022-06-03 03:19:49 +08:00 · 8259 次点击
    这是一个创建于 903 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前图方便,路由器六万高端口转发 3389 到家里一台电脑,后来无聊看了眼事件查看器,被隔壁 IP 破解了半个月 RDP 密码。我路由器每三天重启,光 IP 段就有 5 个,关闭端口转发之后消停一个月了,去年就被黑过一次四块硬盘数据全给抹了。 隔壁真是穷疯了,没事查查你们的 SSH 和 RDP 登录记录吧,我是防火墙禁用加 openVPN 内网访问了

    第 1 条附言  ·  2022-06-03 18:05:19 +08:00
    隔壁是隔壁国家,高端口转发和改默认端口没区别,但是会被检测协议的。之前被黑也不是装的 windows server 没默认用户名一说, 我猜他们是瞄准特定 IP 段不断扫描攻击的
    74 条回复    2022-06-21 16:35:12 +08:00
    i3x
        1
    i3x  
       2022-06-03 04:13:54 +08:00 via Android
    怕被扫就各种 windows 防火墙。白名单。增加你可能的访问来路网段。例如运营商的宽带以及数据的公网 ip 即可。。。被黑只能是因为弱密或者不打补丁。有能力自己搞出 0day 大杀特杀的也没必要针对你一个,要干就 5 分钟扫描全球全部控制好了,随随便便分分钟摧毁整个互联网。
    系统的防火墙太难设置或者技术不好,没有洁癖的就随便用一些服务器安全软件设置。可以设置的名单就更加全面了。比如限制连接的计算机名,或者需要特定二次验证等等。
    而改端口相对来说已经没有什么用了。

    还有,开启了 rdp 安全,其实很多扫爆软件已经没用了,不知道你开了没。。。

    根据我的白名单方法。除非发起者跟你同地区,如果你在国内,发起者跟你同地区,虽然你没有任何损失,但是你可以报警,确定会迅速定位扫爆发起者。。对网安来说相当于白给 KPI 。。。。。这种情况可大可小,就看怎么处理了。完整流程只要半个小时就找出发起者了。
    chengfeng1992
        2
    chengfeng1992  
       2022-06-03 04:30:50 +08:00
    https://www.v2ex.com/t/821458
    上次自己亲身经历。
    参与暴力破解的机器应该都是肉鸡。
    虽说没受什么实际损失,我的真的怕了,也真的改了。
    jsyangwenjie
        3
    jsyangwenjie  
       2022-06-03 04:41:14 +08:00
    直接用 tailscale 或者 wireguard ?
    uqf0663
        4
    uqf0663  
       2022-06-03 05:18:44 +08:00 via Android
    家里公网 ip 高端口开着 rdp 十来年了,5 字母用户名(不是 admin )+5 字母 3 数字密码,目前暂未被成功搞过,主要在外面各种环境想随时随地可以连回家,搞 vpn 会不方便
    fateofheart
        5
    fateofheart  
       2022-06-03 05:44:26 +08:00
    rdp 直接白名单放 vps 的 ip ,跳板访问,vps 的 ssh 禁止非证书登陆。。。随便扫,能进去算我输
    cloudsigma2022
        6
    cloudsigma2022  
       2022-06-03 06:27:40 +08:00
    wireguard
    advancejar
        7
    advancejar  
       2022-06-03 07:27:02 +08:00
    rdp 开了多年了,端口换成 5 位数字的
    jemyzhang
        8
    jemyzhang  
       2022-06-03 08:15:15 +08:00 via Android
    rustdesk+自建 relay ,值得拥有
    A3
        9
    A3  
       2022-06-03 08:42:00 +08:00 via Android
    为啥用 3389
    DataSheep
        10
    DataSheep  
       2022-06-03 08:42:14 +08:00 via iPhone
    @advancejar 单纯改端口没任何作用,没出问题只是可能你的账户名和密码比较强
    Illusionary
        11
    Illusionary  
       2022-06-03 09:29:12 +08:00
    wireguard 好用的一比,外网拉家里 NAS 文件都打满上传带宽
    dearmymy
        12
    dearmymy  
       2022-06-03 09:52:05 +08:00
    @jsyangwenjie tailscale 真心挺好用。。
    pppguest3962
        13
    pppguest3962  
       2022-06-03 11:00:39 +08:00
    3389<-TCP_NAT->3389 ,直接 RDP 默认端口映射,你这是把羊放到狼群里,
    怎么野德吧 outside 那边的端口改一下吧,我改成 5 位数的端口,7 年了,一个摸门的都没有
    cjpjxjx
        14
    cjpjxjx  
       2022-06-03 11:30:05 +08:00   ❤️ 1
    RDP 被暴力破解 99%的情况:使用默认端口、administrator 用户、弱口令

    可用端口六万多个,但凡改个五位数端口就已经过滤掉 99%的爆破;
    自定义用户名,禁用 administrator 用户,至少再过滤掉 99.99%的爆破;
    再使用强密码,直接被暴破成功的概率相当于小行星撞地球。
    huaes
        15
    huaes  
    OP
       2022-06-03 11:30:56 +08:00
    @chengfeng1992 我是被一个 IP 破了半个月,我也是服了
    Osk
        16
    Osk  
       2022-06-03 11:37:40 +08:00
    @cjpjxjx 再加一条: 关闭了 Windows 更新, 没错, 见过不少关闭更新的.
    huaes
        17
    huaes  
    OP
       2022-06-03 11:38:34 +08:00
    @i3x 防火墙策略太麻烦了,我 Linux 都是密钥登陆的,而且只是台下载机没必要,我就是佩服他能爆我半个月
    huaes
        18
    huaes  
    OP
       2022-06-03 11:41:20 +08:00
    @cjpjxjx 改端口其实作用不大,现在也就 windows server 才用默认用户名了,我之前被黑那次密码十几位,现在都是三十位起
    huaes
        19
    huaes  
    OP
       2022-06-03 11:44:47 +08:00
    @fateofheart 用 RDP 就是为了延迟和画质,开了显卡加速之后 50Mb 上传都不够,VPS 中转那就是个垃圾还不如直接向日葵
    huaes
        20
    huaes  
    OP
       2022-06-03 11:45:55 +08:00
    @jemyzhang 都中转了我为啥还用 RDP ,那不就为了延迟画质
    wolfmei
        21
    wolfmei  
       2022-06-03 12:13:11 +08:00
    我用山石 SCVPN ,暂时还行。
    SenLief
        22
    SenLief  
       2022-06-03 12:13:50 +08:00
    wireguard

    这货好用。
    iamvx
        23
    iamvx  
       2022-06-03 12:24:40 +08:00
    改高端口,改强密码,改管理员帐户名。 登录桌面不显示帐户名,需要手动录入。并且把 administrator 改成其他的帐户名,然后建一个 guest 帐户叫 administrator 再把这个帐户禁用。

    另外,另外,设成尝试 3 次口令错误即锁定该帐号 10 分钟之内不能登录。让他破个千百年去。
    oreader996
        24
    oreader996  
       2022-06-03 15:19:56 +08:00 via Android
    有一个疑问,openvpn 也是得开放端口出去的吧
    qbqbqbqb
        25
    qbqbqbqb  
       2022-06-03 15:52:47 +08:00
    @A3
    @pppguest3962
    OP 写的是“六万高端口转发 3389”,outside 不是 3389
    flynaj
        26
    flynaj  
       2022-06-03 16:07:25 +08:00 via Android
    IPv6 默认端口直接暴露,一年没有问题。
    piloots
        27
    piloots  
       2022-06-03 17:28:03 +08:00
    近七天远程桌面被爆破 39709 次,建议修改远程桌面端口.
    cwek
        28
    cwek  
       2022-06-03 17:43:48 +08:00
    SSH ,就算不是标准端口,,机器也只是偶然连续开两三天,一样被世界各地敲门(已经设了关闭账户密码登录)。

    这些可远程控制的,不建议直接暴露外网。
    huaes
        29
    huaes  
    OP
       2022-06-03 18:06:04 +08:00
    @cwek 我被一个 Ip 爆了半个月我是佩服他的
    huaes
        30
    huaes  
    OP
       2022-06-03 18:07:32 +08:00
    @flynaj 我又不可能关了 V4 ,上网都费劲了。倒是 openVPN 用的是 V6
    allanpk716
        31
    allanpk716  
       2022-06-03 18:15:21 +08:00 via iPhone
    @cjpjxjx 改端口是没用的,RDP 协议有特征。老实用白名单和 VPN 吧。
    vhus
        32
    vhus  
       2022-06-03 18:18:11 +08:00
    家用成品路由器的防火墙功能很差,软路由相对好些。
    所以一直在用 routeros 。
    自从把 ICMP 协议禁止掉日志就清爽很多了。
    家里路由仅仅开了 ovpn 和 PT 的端口,并且都改到 6XXXX 以上。
    star187j3x1
        33
    star187j3x1  
       2022-06-03 20:01:14 +08:00
    vpn 和端口映射,安全性不一样吗?,,
    huaes
        34
    huaes  
    OP
       2022-06-03 20:05:50 +08:00
    @star187j3x1 VPN 就是为了安全加密设计的,windows 漏洞太多了,内网和外网访问的安全性都不在一个量级上
    digimoon
        35
    digimoon  
       2022-06-03 20:10:40 +08:00
    服务端口我都是非国内 ip 全封的
    brucmao
        36
    brucmao  
       2022-06-03 21:07:43 +08:00
    我擦,感觉看了一下,这么多尝试登录,感觉取消端口转发
    https://s3.bmp.ovh/imgs/2022/06/03/117d66ff147b3416.png
    brucmao
        37
    brucmao  
       2022-06-03 21:08:42 +08:00
    @brucmao 感觉 -> 赶紧
    Les1ie
        38
    Les1ie  
       2022-06-03 23:44:15 +08:00
    即使 RDP 使用了强密码,但是 RDP 协议本身是可能存在漏洞的,比如 CVE-2019-0708 。
    如果你的 Windows 版本在受影响范围内,比如 win7, win server 2008 ,且未更新补丁,并且再非常不巧,机器的 RDP 端口暴露到了公网中,攻击者无需密码就可以进入你的系统。

    建议还是映射 VPN 的端口到公网,至少目前 wireguard/OpenVPN 暂时没有严重的漏洞。
    huaes
        39
    huaes  
    OP
       2022-06-03 23:55:38 +08:00
    @Les1ie 所以现在只用 VPN 连回内网了,之前那是 win10 ,密码是十几位的诗词大小写数字强密码照样被黑了
    huaes
        40
    huaes  
    OP
       2022-06-03 23:57:45 +08:00
    @Les1ie zerotier 我都全线卸载了,还是掌握在自己手里的东西更安全
    pagxir
        41
    pagxir  
       2022-06-04 00:53:01 +08:00 via Android
    remmina 可以 rdp over ssh ,你设置 ssh 用 key 鉴权既可以
    m1nm13
        42
    m1nm13  
       2022-06-04 01:14:07 +08:00
    想起来春节,服务器开放了 SSH 端口,结果被打下来,挖了半个月的矿。。。。
    jousca
        43
    jousca  
       2022-06-04 01:15:43 +08:00
    @huaes 1 、系统自动升级开没开?不打补丁被黑那是活该。2 、账户安全策略,密码错误 5 次锁半个小时起步。3 、口令不符合你的社工库。就是这个密码不要用于其它地方。千万别一个密码到处用……

    不要小看微软的安全系数,目前网上被中招的大部分都是连自动升级都舍不得开的。
    huaes
        44
    huaes  
    OP
       2022-06-04 01:27:56 +08:00
    @jousca 正版 Key 激活 win10 专业版自动更新没事就给我重启,并没卵用照样被黑。谁有那功夫把每一台机器组策略都加满, 再说了,windows 的漏洞还少吗
    philippiela
        45
    philippiela  
       2022-06-04 08:55:52 +08:00 via iPad
    @fateofheart 我也是这么搞的,能扫进去的人估计都去扫中情局的数据库
    derekwei
        46
    derekwei  
       2022-06-04 11:46:58 +08:00
    比较好奇隔壁国家是哪个,ru ?
    jousca
        47
    jousca  
       2022-06-04 12:25:15 +08:00
    @huaes 如果 linux 不做安全策略,一样被黑得鸡飞狗跳而且你还不知道……
    lau52y
        48
    lau52y  
       2022-06-04 15:42:59 +08:00 via iPhone
    插楼问一下,怎么搭建那种,vpn 才能连接服务器的
    huaes
        49
    huaes  
    OP
       2022-06-04 15:45:16 +08:00
    @derekwei 对,那三字目前打不出来
    huaes
        50
    huaes  
    OP
       2022-06-04 15:45:45 +08:00
    @lau52y 没懂你啥意思
    lqzhgood
        51
    lqzhgood  
       2022-06-04 16:45:16 +08:00
    楼主重启会变 IP 的么?
    huaes
        52
    huaes  
    OP
       2022-06-04 16:47:59 +08:00
    @lqzhgood 肯定会的啊,而且是 5 个 IP 段,照样被爆,时间间隔我没注意但是那半个月时间都是有记录的
    jemyzhang
        53
    jemyzhang  
       2022-06-04 22:51:15 +08:00 via Android
    @huaes 按照你的描述你应该有公网,既然有公网还要 vps 中转干啥,直接本机建 relay 就行了,延迟和画质都能保证
    q1angch0u
        54
    q1angch0u  
       2022-06-05 05:41:16 +08:00 via iPhone
    可以了解一下 censys 、rapid7 ,有人替他们扫,肉鸡只负责攻击就好
    Showfom
        55
    Showfom  
       2022-06-05 17:19:22 +08:00   ❤️ 1
    Windows 服务器也有个类似 fail2ban 的开源小工具

    https://github.com/devnulli/EvlWatcher
    lihui114514
        56
    lihui114514  
       2022-06-05 20:59:08 +08:00
    想问下我用的 HW 路由器可以在 APP 里远程设置 DMZ 设备,在用的时候把需要远程的设备暴露出来,不用的时候就把 DMZ 关掉这种方案如何呢
    guanzhangzhang
        57
    guanzhangzhang  
       2022-06-06 09:23:58 +08:00
    你这种端口转发就是应用暴漏在外面了,你用 openvpn 和 wireguard 这种先认证对了才能连上内网的就不存在这种问题了,特别是 wireguard 是非堆成密钥加密,其次它还是工作在内核态
    huaes
        58
    huaes  
    OP
       2022-06-06 13:41:24 +08:00
    @guanzhangzhang wireguard 这玩意我记得刚出的时候就是为翻墙准备的,兼容太差,难不成我还为了它装个 Linux
    tvirus
        59
    tvirus  
       2022-06-06 13:54:12 +08:00
    装这个叫 RDP Defender 软件试一试
    dream2cast
        60
    dream2cast  
       2022-06-06 14:02:55 +08:00
    个人感觉把 RDP 直接暴露在公网上的都是狠人
    huaes
        61
    huaes  
    OP
       2022-06-06 14:09:47 +08:00
    @dream2cast 其实无论是端口转发还是改端口都没用,会被检测协议的
    huaes
        62
    huaes  
    OP
       2022-06-06 14:13:30 +08:00
    @tvirus 任何二次转发的延迟跟画质都不能忍,原生显卡加速 60fps 或者 120fps 瓶颈只在带宽了
    07ly
        63
    07ly  
       2022-06-06 14:41:21 +08:00
    @huaes wireguard 可不是为了翻墙准备的,要是用它来翻墙那分分钟被请喝茶,特征太明显。wireguard 还是用来组网比较适合,windows 电脑或者路由器开个 wireguard 客户端,配置下本地和对端 peer ,做个端口转发。再在另一台设备上把两边信息配置好就能组网了
    huaes
        64
    huaes  
    OP
       2022-06-06 15:00:43 +08:00
    @07ly 还是那句话,用过,兼容太差,扔一边了。这东西组网不如 Zerotier ,简易性兼容性都不如路由器电脑自带 VPN 。甚至都不如 SoftEther
    guanzhangzhang
        65
    guanzhangzhang  
       2022-06-06 15:20:54 +08:00
    @huaes 兼容性没啥问题,我 op 和 Linux 上都配置过,我博客还写了笔记,有个 r2s 的小白看了按照配置了都跑起来了,zerotier 兼容性才差,下发路由慢(ecs 上 docker 容器起的),腾讯云和阿里云上搭建过 moon ,速度都不咋的
    huaes
        66
    huaes  
    OP
       2022-06-06 15:31:31 +08:00
    @guanzhangzhang 关键问题在于我不用 Linux 和 OP 啊,硬路由能解决的我干嘛非要在装个虚拟 OP 呢,说真的折腾这么多年网络 OP 类软路由除了翻墙和大宽带汇聚其他场景没什么用,还多了维护成本。折腾那么多除了看起来爽没什么实用性,网络整体稳定性才是我看重的,硬路由 VPN 除了加解密性能低点没什么缺点,不过两三百兆也够用了
    huaes
        67
    huaes  
    OP
       2022-06-06 15:44:53 +08:00
    @guanzhangzhang 任何需要二次安装的都逃不过稳定性问题,VPN 是远控类软件也是,zerotier 我也就卸载了,现在就靠路由器自身 openVPN 外加两台向日葵控控, 服务器路由器都炸了也不怕
    z775781
        68
    z775781  
       2022-06-06 16:05:04 +08:00
    @iamvx 我设置过五次错误锁定账号十分钟,然后我就再也连不上我的 RDP 了,还好有备用方案 anydesk
    huaes
        69
    huaes  
    OP
       2022-06-06 16:10:53 +08:00
    @z775781 我也试过,测试完发现不管用,害怕了就改回去了,还是老实用 VPN 加向日葵控控吧,反正有硬件设备拖底
    lzyliangzheyu
        70
    lzyliangzheyu  
       2022-06-06 20:05:37 +08:00
    你 windows 是 24 小时开机的吗,我是默认 3389 端口,但是每次都是要用电脑之前先用 wake on lan 唤醒,用完就关机的,主要是待机动辄几百瓦的功耗太费电了
    huaes
        71
    huaes  
    OP
       2022-06-07 03:26:30 +08:00
    @lzyliangzheyu 几百瓦不至于,windows 台式无负载一百瓦左右因为有块 2080 ,双路服务器无负载也才两百瓦,这点电才几块钱,台式机经常开关机才容易出问题,实验室的机器都是几年不关机的
    tvirus
        72
    tvirus  
       2022-06-07 11:12:32 +08:00
    @huaes RDP Defender 只是 一个 RDP 防火墙
    ppbaozi
        73
    ppbaozi  
       2022-06-14 18:21:39 +08:00
    sh570655308
        74
    sh570655308  
       2022-06-21 16:35:12 +08:00
    我以前是路由器建 SS 服务器再连回去的,现在直接用 ipv6 了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1260 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 23:31 · PVG 07:31 · LAX 15:31 · JFK 18:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.