做内网穿透时,很多人只想着把服务暴露出去,却忽略了端口安全怎么设置。比如老王开了个远程桌面,方便在家连公司电脑,结果没几天就被扫到,账号密码被人暴力破解。其实,只要在路由器和系统层面做点基础防护,就能挡住大多数麻烦。
关闭不必要的端口
很多设备出厂默认开启一堆服务,像Telnet、FTP、SMB这些,普通人用不上还容易被利用。进路由器后台,找到“虚拟服务器”或“端口映射”列表,把长期不用的转发规则删掉。比如你只是用来跑Web服务,那就只留80和443,别的能关就关。
改掉默认端口号
别再用22跑SSH,3389跑远程桌面了。攻击者第一轮就是扫这些常见端口。你可以改成像50022、60011这种偏门数字。改完后在路由器上做一次端口映射:
外部端口:50022
内部IP:192.168.1.100
内部端口:22
协议:TCP这样外网访问就得用 your-domain:50022 才能连上SSH,普通扫描直接跳过。
用防火墙限制访问来源
如果你的公网IP是动态的,至少可以在本地防火墙加规则,只允许特定IP段连接关键端口。Linux可以用iptables:
iptables -A INPUT -p tcp --dport 22 -s 123.123.123.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP意思是只有来自123.123.123.x的网络才能连SSH,别的全拦下。配合DDNS,家里宽带换IP也能通过脚本自动更新规则。
启用认证和加密
哪怕端口开了,也别用弱密码。SSH禁用root登录,改用密钥认证;远程桌面开启网络级身份验证(NLA)。如果做Web穿透,一定要上HTTPS,Let's Encrypt免费证书几分钟就能配好。数据传输出去是加密的,就算被截获也看不懂。
定期查看日志
路由器或服务器的系统日志里藏着线索。每天花一分钟看看有没有异常登录尝试,比如凌晨三点有人反复连你的自定义端口。发现可疑IP,直接拉黑。有些路由器支持自动封禁多次失败的IP,这个功能建议打开。
端口不是开了就完事,关键是控制谁能在什么时候访问。哪怕你只是搭了个家庭相册站,也不该让全世界都能试着撞密码。简单几步设置,能把风险降一大截。