Openwrt 能否远程控制某些端口映射的开启和关闭?

2023-11-30 23:49:48 +08:00
 wanmyj
如前贴所言,RDP 端口映射到公网毕竟不安全,然而又不太想用 VPN (不想所有流量都被 VPN 控制)。除此之外,一些文件共享服务,本人测试下来还是端口映射最为流畅。如果能有远程控制某个端口映射的开关,则在只有使用的时候打开,安全系数倍增。

不知道 V2er 们有没有易用的实践可以 share 一下
1334 次点击
所在节点    OpenWrt
11 条回复
sunulin
2023-11-30 23:58:35 +08:00
不想用 vpn 还想远控某个端口的开关,那就把 openwrt 的端口映射出去直接管理 openwrt 呗,既然能远控本地端口,这样又回到你所谓不安全的顾虑里面了。所以无解。
iamwho
2023-12-01 00:28:45 +08:00
我是这么做的:

- 预先设置所有端口转发。
- 外出前将 OpenWRT 以非标端口暴露到公网:其实没什么用,主要怕运营商。
- 所有支持 WOL 的设备都启用 WOL 。
- 所有设备(包括路由器本身)接入单独的智能插座:物理切断或意外情况,比如我有一台当作服务器的 Windows 有时候会卡死,但是一直没排查出什么问题,所以我只能在它死机的时候切换智能插座开关重启它;路由器连接的是邻居的 Wi-Fi 。

假设我现在要连接家里的 Windows 设备 A:

1. 远程访问 OpenWRT WebUI 开启 设备 A 的端口转发。
2. 远程打开设备 A 的电源。(如果没开)
3. 网络唤醒设备 A

---

因为有一次外出忘记把 OpenWRT 暴露到公网了,所以我后面添加了定时脚本,如果未主动暴露的情况下 00 、06 、12 、18 整点分别会临时转发 WebUI 5 分钟。
mohumohu
2023-12-01 00:31:17 +08:00
关键字:knockd
cwcc
2023-12-01 01:00:20 +08:00
不走 VPN 真的不安全,即使只是在你用的时候才打开。

我之前一个很经典的被骑代理的过程:因为要回家,所以用这个方法在换 VPN 配置时候临时开了两个口子,用于登录 SSH 和 SOCKS 代理(从家里的 IP 出口访问,有需求)。然后大概没过 1 小时,代理被骑了(就是有扫全网的脚本小子扫到代理,然后被用于挖矿、代理池等非法行为)。加密码,但是设置得太简单( 9 位,字母加年份),过了三四个小时又被骑了。被骑的后果就是我的 openwrt 的连接上限。然后 SSH 端口看 lastb 也在开放端口后开始刷屏,刷这个倒是没啥问题,但家用公网 IP 段哪怕高位端口,也要比云服务器的 22 端口要更容易被扫,同时家庭公网相比 VPS 而言没有任何安全防护。

如果真的要在家庭公网 IP 开放临时的远程管理端口,最好不要把 openwrt 的地址开放出去,建议只开启打好补丁的 SSH 、RDP 端口,并且主机安装入侵检测软件,同时禁止易猜测的用户名,设置仅支持证书、公钥登录等。除此之外,有一个 VPN 或许是更安全的选择。

另外有关你提到一个远程控制开关 RDP 端口,那你可以完全写个 bot ,反正家里电脑常开着,就搭个机器人,或者搞一个端口,直接写个裸 socket ,传输自己的密钥和指令开启关闭端口。另外,避免开启 HTTP 并在上面放网站页面,原因就是避免被喝茶违规操作。
AoEiuV020JP
2023-12-01 01:30:44 +08:00
c
AoEiuV020JP
2023-12-01 01:32:13 +08:00
clash 分流,我家里 openwrt 只开放一个 ss 端口,
人在外面使用 clash 分流,家里局域网 ip 就走这个 ss 回家,其他网络连接不经过家里,
wanmyj
2023-12-01 09:49:21 +08:00
@iamwho 你这里的远程访问 OpenWRT WebUI ,如果用 nginx 做 proxy_pass 会安全许多,如果直接转发公网,感觉暴露面很大了
roth
2023-12-01 09:52:13 +08:00
偷懒的办法,我是买了个 tplink 的商用路由器,走 tp 的商云来临时开关端口,当然就像前边兄弟的说法存在很大隐患
wanmyj
2023-12-01 09:58:49 +08:00
@mohumohu Bingo!
wanmyj
2023-12-01 10:13:07 +08:00
@roth 这个很可以的,不存在很大的隐患。开启端口映射和开启端口的安全意义是完全不同的。如果开启端口就等于不安全,那等于出门就可能出车祸,讨论起来就没意义了
iamyangyiok
328 天前
奇怪的要求,你不开放一个端口又怎么控制。 要安全就 VPN 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/996669

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX