有公网 IP 如何保护自己的 RDP 和 nas 安全

不能用 vpn 就 ssh 转发端口呗

最好还是 vpn ，要不然可能会被运营商警告
https://ex.noerr.eu.org/t/1129251

@yinmin #16 你说的这些漏洞都是上古时期的，正常开着 windows 更新并且使用没有 EOL 的系统是不会有问题的。我们服务器 rdp 常年暴露公网，一点问题没有。99.9% rdp 被攻破的案例都是因为弱密码或者撞库导致的。即便真的有 0day 出来，也不会用于大面积扫描的，这样太浪费了。更何况近些年出现的漏洞都是有前置条件的，要么你有普通用户权限（内部提权），要么你已经能访问到机器（输入法绕过 login ）。

@zyt5876 #33 你这个方法就足够了，其他的操作效费比就有点低了。除非你是想实践一些方案。

0day 这种大杀器好贵的，一般在很高 level 的对抗中才会使用。比如，最近的 xu 经理意大利事件中，从美国披露的证据看，即使国家级对抗中也只使用了 exchange 的两个 0day 。

RDP 设强密码限制失败次数足够了，踏实的搬你的砖去。

没有公网 IP 就不用操这个心了
我是 nas 上装了个 shadowsocks-rust, 用 natmap 做转发，在公司和手机上用 clash 回家

敲门器

路由器我用 routeros 。设置外网不能登录，内网设备我搭建一个 ss 节点，在外边 ip 分流进家里，ssh 设备在加上密钥。

openvpn

需要暴露到互联网得端口 套个 WAF ， 其他业务搞非默认端口得远程桌面。

不需要搞什么复制的技术，防火墙直接白名单 IP 就是本市几个 IP 段，另开一个远程遥控插头控制开机自启的另一个主机。出差的时候直接开插座，RDP 到另一个主机，再从另一个主机 RDP 到你的大奶机上把出差的 IP 段加到大奶机的 RDP 白名单上就好了。控制 IP 白名单，安全的一匹。我说的白名单不是你公司的那一个 IP ，而是运营商的 IP 段，任何一个城市，不管你多大，你平时的移动联通电信没几个 IP 段，你常用的不超过 4 行。遇到新的再开二奶机加呗。

推荐 ddnsto 好像一年 28 ？可以免费试用 7 天
子域名指向自己内网设备 需要扫码验证才能访问
但是不支持小米内网路由器

我用来管理 ikuai 和 iStoreOS

原则上越简单的协议越安全。越多功能越多漏洞。
不套隧道是无法保证相对安全的。套了隧道你又不喜欢，无解

自建 rustdesk 使用 web 客户端, 配合 cf 大善人穿透到公网

走虚拟组网？

1. 国内 IP 白名单, 可以搭配端口敲门技巧动态管理
2. vpn 再访问
3. 绑定域名 https, 拒绝 ip 直接请求, 同时账号绑定 MFA

@smsbot 我之前的产品做过地域白名单功能，使用了 IP 地理库，经常受到两个问题的困扰。
1 、库不准。有时使用 4G/5G 热点，IP 地址飘得厉害。
2 、坐高铁用地域白名单非常痛苦。

地域白名单： https://ex.noerr.eu.org/i/yl45vh9K.png


可以试试端口敲门

如果网速快的话，用 sunshine+moonlight 就行了。