端口映射 3389 到 5 位端口，一直在被爆破，怎么防护可以兼顾安全性跟便捷性？

一般远程我都限制本市 IP 本运营商 IP 访问
基本三大运营商正规宽带的 IP 段很固定

我这边的 shadow-tls v3 也可以拿来搞这个。
服务端对客户端的 client hello 有鉴权，通过后转发至配置的后端 A ，否则转发至后端 B 。

zerotier 都能接受的话，那用 v2ray 套一层加密后再转发应该也行

zerotier 都能接受的话，那用 v2 ，ray 套一层加密后再转发应该也行

不建议暴露 rdp 到公网，历史上多次出现鉴权和远程代码执行这种严重安全漏洞

```
Import-Module NetSecurity

$startTime = Get-Date
$startTimeStr = $startTime.AddMinutes(-5).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.FFFZ")
$failedAttemptsThreshold = 3

$Query = [xml]@"
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4625) and TimeCreated[@SystemTime&gt;='$startTimeStr']]]</Select>
</Query>
</QueryList>
"@

function Get-IPAddresses {
param (
[xml]$query,
[int]$maxEvents
)

$events = Get-WinEvent -FilterXml $query -MaxEvents $maxEvents
if (-not $events) {
Write-Host "未获取到任何日志。脚本将退出。"
return
}

$events | ForEach-Object {
$_.Properties[19].Value
}
}

$failedIPs = Get-IPAddresses -query $Query -maxEvents 100 | Group-Object | Where-Object {
$_.Count -gt $failedAttemptsThreshold
} | Select-Object -ExpandProperty Name -Unique
$uniqueIPs = Get-IPAddresses -query $Query -maxEvents 100 | Select-Object -Unique

$filteredFailedIPs = $failedIPs | Where-Object {
$_ -notmatch '^192\.168\.' -and $_ -notmatch '^10\.' -and $_ -notmatch '^172\.(1[6-9]|2[0-9]|3[0-1])\.'
}

# 定义要过滤的特定 IP 地址列表
$specificIPs = @("192.168.1.100", "10.0.0.5")

# 过滤掉特定 IP 地址
$filteredFailedIPs = $filteredFailedIPs | Where-Object {
$_ -notin $specificIPs
}

$ruleName = "BlockIPs"
$filteredFailedIPs = $filteredFailedIPs | Sort-Object

# 获取现有的防火墙规则
$existingRule = Get-NetFirewallRule -DisplayName $ruleName

if ($existingRule) {
# 获取现有的远程地址过滤器
$existingAddressFilters = Get-NetFirewallAddressFilter -AssociatedNetFirewallRule $existingRule

# 获取现有的远程地址
$existingRemoteAddresses = $existingAddressFilters | Select-Object -ExpandProperty RemoteAddress
$existingRemoteAddresses = @($existingRemoteAddresses)
$existingAddressFilters = @($existingAddressFilters)
# 添加新的地址
$newRemoteAddresses = $existingRemoteAddresses + $filteredFailedIPs | Select-Object -Unique

# 更新远程地址过滤器
$existingAddressFilters | Set-NetFirewallAddressFilter -RemoteAddress $newRemoteAddresses
}
else {
Write-Host "规则 $ruleName 不存在。"
New-NetFirewallRule -DisplayName $ruleName -Direction Inbound -Action Block -Protocol Any -RemoteAddress $filteredFailedIPs -RemoteAddressType "IP"
}
```

可以把国外 ip 都封了

我去, 刚刚看了下我的, 也是一堆审核失败..........我也换了端口的

端口限 ip ？我也被爆破过，后来用的时候就上后台开放一下 IP ，用的是 frps

@hahiru 我 zerotier+tailscale 一起用明显不如用单个的，不知道是不是一起用有干扰，ping 丢包率都高点。

@zhj9709 #70 没办法，有的时候这个连通，有时候那个连通。双重保险。不过我暂时没发现干扰。

加入域环境 用证书登陆

企业都是上 vpn 和堡垒机 ，任选其一不就行了。

@yinmin RDP 一样有 TLS 加密，再套一层 TLS… duh 。也不是不行。

就，一样是让爆破哥难受，fail2ban 等效功能也有啊 https://github.com/DigitalRuby/IPBan 。或者说，爆破哥真的是什么大问题吗？

@yhvictor Windows XP SP3 就有 Network Level Authentication ，你在喝什么老酒啊？ TLS 强制也有注册表配置

https://serverfault.com/a/128943

连接时候点一个自签名证书信任，和 ssh 信任 host key 是一个道理。

可以试试 IPBan ，设置成服务，自启动

用系统自带的防火墙 限制特定 ip 访问

先给当地 IP 段做个白名单，直接避免 99.9999% 的攻击。

再来个 wail2ban 。

无敌。

@cy18 以段为单位，出现 4 次非法登录的直接 ban C 段，出现 32 次非法登录的直接 ban B 段……
看他有多少个 ip 吧.

@yankebupt #78 自动封 IP 有啥推荐的工具不？

封 IP 有一个局限，我另外还有一台没有公网 IP 通过 frp 转发的电脑，最近也被攻击了。frp 进来连接全是中继服务器的 IP ，没法封。
至于其他各种加密、转发、VPN 之类的，都需要额外装工具啥的，丧失了便捷性。

一直以为没事情，看前面说的，我也看了一下我的日志，现在还有尝试登录的。我是没启用超管，用的另外的账号和密码