路由器还是别开任何端口转发到 RDP 服务了，有事直接 openVPN 连回内网

怕被扫就各种 windows 防火墙。白名单。增加你可能的访问来路网段。例如运营商的宽带以及数据的公网 ip 即可。。。被黑只能是因为弱密或者不打补丁。有能力自己搞出 0day 大杀特杀的也没必要针对你一个，要干就 5 分钟扫描全球全部控制好了，随随便便分分钟摧毁整个互联网。
系统的防火墙太难设置或者技术不好，没有洁癖的就随便用一些服务器安全软件设置。可以设置的名单就更加全面了。比如限制连接的计算机名，或者需要特定二次验证等等。
而改端口相对来说已经没有什么用了。

还有，开启了 rdp 安全，其实很多扫爆软件已经没用了，不知道你开了没。。。

根据我的白名单方法。除非发起者跟你同地区，如果你在国内，发起者跟你同地区，虽然你没有任何损失，但是你可以报警，确定会迅速定位扫爆发起者。。对网安来说相当于白给 KPI 。。。。。这种情况可大可小，就看怎么处理了。完整流程只要半个小时就找出发起者了。

t/821458
上次自己亲身经历。
参与暴力破解的机器应该都是肉鸡。
虽说没受什么实际损失，我的真的怕了，也真的改了。

直接用 tailscale 或者 wireguard ？

家里公网 ip 高端口开着 rdp 十来年了，5 字母用户名（不是 admin ）+5 字母 3 数字密码，目前暂未被成功搞过，主要在外面各种环境想随时随地可以连回家，搞 vpn 会不方便

rdp 直接白名单放 vps 的 ip ，跳板访问，vps 的 ssh 禁止非证书登陆。。。随便扫，能进去算我输

wireguard

rdp 开了多年了，端口换成 5 位数字的

rustdesk+自建 relay ，值得拥有

为啥用 3389

@advancejar 单纯改端口没任何作用，没出问题只是可能你的账户名和密码比较强

wireguard 好用的一比，外网拉家里 NAS 文件都打满上传带宽

@jsyangwenjie tailscale 真心挺好用。。

3389<-TCP_NAT->3389 ，直接 RDP 默认端口映射，你这是把羊放到狼群里,
怎么野德吧 outside 那边的端口改一下吧，我改成 5 位数的端口，7 年了，一个摸门的都没有

@chengfeng1992 我是被一个 IP 破了半个月，我也是服了

@cjpjxjx 再加一条: 关闭了 Windows 更新, 没错, 见过不少关闭更新的.

@i3x 防火墙策略太麻烦了，我 Linux 都是密钥登陆的，而且只是台下载机没必要，我就是佩服他能爆我半个月

@cjpjxjx 改端口其实作用不大，现在也就 windows server 才用默认用户名了，我之前被黑那次密码十几位，现在都是三十位起

@fateofheart 用 RDP 就是为了延迟和画质，开了显卡加速之后 50Mb 上传都不够，VPS 中转那就是个垃圾还不如直接向日葵

@jemyzhang 都中转了我为啥还用 RDP ，那不就为了延迟画质

我用山石 SCVPN ，暂时还行。

wireguard

这货好用。

改高端口，改强密码，改管理员帐户名。 登录桌面不显示帐户名，需要手动录入。并且把 administrator 改成其他的帐户名，然后建一个 guest 帐户叫 administrator 再把这个帐户禁用。

另外，另外，设成尝试 3 次口令错误即锁定该帐号 10 分钟之内不能登录。让他破个千百年去。

有一个疑问，openvpn 也是得开放端口出去的吧

@A3
@pppguest3962
OP 写的是“六万高端口转发 3389”，outside 不是 3389

IPv6 默认端口直接暴露，一年没有问题。

近七天远程桌面被爆破 39709 次，建议修改远程桌面端口.

SSH ，就算不是标准端口，，机器也只是偶然连续开两三天，一样被世界各地敲门（已经设了关闭账户密码登录）。

这些可远程控制的，不建议直接暴露外网。

@cwek 我被一个 Ip 爆了半个月我是佩服他的

@flynaj 我又不可能关了 V4 ，上网都费劲了。倒是 openVPN 用的是 V6

@cjpjxjx 改端口是没用的，RDP 协议有特征。老实用白名单和 VPN 吧。

家用成品路由器的防火墙功能很差，软路由相对好些。
所以一直在用 routeros 。
自从把 ICMP 协议禁止掉日志就清爽很多了。
家里路由仅仅开了 ovpn 和 PT 的端口，并且都改到 6XXXX 以上。

vpn 和端口映射，安全性不一样吗？，，

@star187j3x1 VPN 就是为了安全加密设计的，windows 漏洞太多了，内网和外网访问的安全性都不在一个量级上

服务端口我都是非国内 ip 全封的

我擦，感觉看了一下，这么多尝试登录，感觉取消端口转发
https://s3.bmp.ovh/imgs/2022/06/03/117d66ff147b3416.png

@brucmao 感觉 -> 赶紧

即使 RDP 使用了强密码，但是 RDP 协议本身是可能存在漏洞的，比如 CVE-2019-0708 。
如果你的 Windows 版本在受影响范围内，比如 win7, win server 2008 ，且未更新补丁，并且再非常不巧，机器的 RDP 端口暴露到了公网中，攻击者无需密码就可以进入你的系统。

建议还是映射 VPN 的端口到公网，至少目前 wireguard/OpenVPN 暂时没有严重的漏洞。

@Les1ie 所以现在只用 VPN 连回内网了，之前那是 win10 ，密码是十几位的诗词大小写数字强密码照样被黑了

@Les1ie zerotier 我都全线卸载了，还是掌握在自己手里的东西更安全

remmina 可以 rdp over ssh ，你设置 ssh 用 key 鉴权既可以

想起来春节，服务器开放了 SSH 端口，结果被打下来，挖了半个月的矿。。。。

@huaes 1 、系统自动升级开没开？不打补丁被黑那是活该。2 、账户安全策略，密码错误 5 次锁半个小时起步。3 、口令不符合你的社工库。就是这个密码不要用于其它地方。千万别一个密码到处用……

不要小看微软的安全系数，目前网上被中招的大部分都是连自动升级都舍不得开的。

@jousca 正版 Key 激活 win10 专业版自动更新没事就给我重启，并没卵用照样被黑。谁有那功夫把每一台机器组策略都加满， 再说了，windows 的漏洞还少吗

@fateofheart 我也是这么搞的，能扫进去的人估计都去扫中情局的数据库
了

比较好奇隔壁国家是哪个，ru ？

@huaes 如果 linux 不做安全策略，一样被黑得鸡飞狗跳而且你还不知道……

插楼问一下，怎么搭建那种，vpn 才能连接服务器的

@derekwei 对，那三字目前打不出来

@lau52y 没懂你啥意思

楼主重启会变 IP 的么？

@lqzhgood 肯定会的啊，而且是 5 个 IP 段，照样被爆，时间间隔我没注意但是那半个月时间都是有记录的

@huaes 按照你的描述你应该有公网，既然有公网还要 vps 中转干啥，直接本机建 relay 就行了，延迟和画质都能保证

可以了解一下 censys 、rapid7 ，有人替他们扫，肉鸡只负责攻击就好

Windows 服务器也有个类似 fail2ban 的开源小工具

https://github.com/devnulli/EvlWatcher

想问下我用的 HW 路由器可以在 APP 里远程设置 DMZ 设备，在用的时候把需要远程的设备暴露出来，不用的时候就把 DMZ 关掉这种方案如何呢

你这种端口转发就是应用暴漏在外面了，你用 openvpn 和 wireguard 这种先认证对了才能连上内网的就不存在这种问题了，特别是 wireguard 是非堆成密钥加密，其次它还是工作在内核态

@guanzhangzhang wireguard 这玩意我记得刚出的时候就是为翻墙准备的，兼容太差，难不成我还为了它装个 Linux

装这个叫 RDP Defender 软件试一试

个人感觉把 RDP 直接暴露在公网上的都是狠人

@dream2cast 其实无论是端口转发还是改端口都没用，会被检测协议的

@tvirus 任何二次转发的延迟跟画质都不能忍，原生显卡加速 60fps 或者 120fps 瓶颈只在带宽了

@huaes wireguard 可不是为了翻墙准备的，要是用它来翻墙那分分钟被请喝茶，特征太明显。wireguard 还是用来组网比较适合，windows 电脑或者路由器开个 wireguard 客户端，配置下本地和对端 peer ，做个端口转发。再在另一台设备上把两边信息配置好就能组网了

@07ly 还是那句话，用过，兼容太差，扔一边了。这东西组网不如 Zerotier ，简易性兼容性都不如路由器电脑自带 VPN 。甚至都不如 SoftEther

@huaes 兼容性没啥问题，我 op 和 Linux 上都配置过，我博客还写了笔记，有个 r2s 的小白看了按照配置了都跑起来了，zerotier 兼容性才差，下发路由慢(ecs 上 docker 容器起的)，腾讯云和阿里云上搭建过 moon ，速度都不咋的

@guanzhangzhang 关键问题在于我不用 Linux 和 OP 啊，硬路由能解决的我干嘛非要在装个虚拟 OP 呢，说真的折腾这么多年网络 OP 类软路由除了翻墙和大宽带汇聚其他场景没什么用，还多了维护成本。折腾那么多除了看起来爽没什么实用性，网络整体稳定性才是我看重的，硬路由 VPN 除了加解密性能低点没什么缺点，不过两三百兆也够用了

@guanzhangzhang 任何需要二次安装的都逃不过稳定性问题，VPN 是远控类软件也是，zerotier 我也就卸载了，现在就靠路由器自身 openVPN 外加两台向日葵控控， 服务器路由器都炸了也不怕

@iamvx 我设置过五次错误锁定账号十分钟，然后我就再也连不上我的 RDP 了，还好有备用方案 anydesk

@z775781 我也试过，测试完发现不管用，害怕了就改回去了，还是老实用 VPN 加向日葵控控吧，反正有硬件设备拖底

你 windows 是 24 小时开机的吗，我是默认 3389 端口，但是每次都是要用电脑之前先用 wake on lan 唤醒，用完就关机的，主要是待机动辄几百瓦的功耗太费电了

@lzyliangzheyu 几百瓦不至于，windows 台式无负载一百瓦左右因为有块 2080 ，双路服务器无负载也才两百瓦，这点电才几块钱，台式机经常开关机才容易出问题，实验室的机器都是几年不关机的

@huaes RDP Defender 只是 一个 RDP 防火墙

哈哈，之前玩过
t/834378#reply20

我以前是路由器建 SS 服务器再连回去的，现在直接用 ipv6 了