最近不少人用内网穿透来远程访问家里的NAS、摄像头或者开发测试的网站。听着挺方便,外网一连就通,但很多人压根没意识到,这玩意儿就像在自家墙上开了一扇不设防的门。
谁都能连上来?默认配置太危险
很多内网穿透工具,默认一启动就允许外部连接接入,而且没有密码、没有验证。比如frp这类工具,如果你只改了端口没设认证,别人扫到你的公网IP和端口,直接就能看到你内网的服务。
想象一下,你把家里监控画面通过穿透暴露出去,结果被陌生人看到了实时画面,这种事真不是吓唬人。
弱密码等于送门钥匙
有些用户图省事,管理后台密码设成123456,或者干脆空着。网上有自动扫描程序专门找这类服务,一旦命中,轻则被当免费中继节点用,重则整个内网被翻个底朝天。
之前有人用穿透搭了个Web管理页,密码是admin/admin,不到半天就被植入挖矿脚本,路由器都卡成幻灯片。
HTTPS不是摆设,别裸奔传数据
很多人做穿透只为能访问,忽略了传输加密。如果你穿的是HTTP服务,所有数据都是明文跑的。中间要是被人截一下,账号密码、cookie全白给。
正确的做法是加上SSL证书,哪怕用自签的也比没有强。比如nginx反向代理配合Let's Encrypt,几行配置就能搞定。
https://your-domain.com {
tls /path/to/cert.pem /path/to/key.pem
reverse_proxy http://192.168.1.100:8080
}别把数据库直接暴露出去
最离谱的操作之一:把MySQL、Redis这种数据库服务直接通过穿透对外开放。3306端口一露,自动化爆破工具立马就来敲门,运气好撑三天,运气差三分钟就被清库勒索。
真要远程访问数据库,走SSH隧道或者加一层API网关才是正路,别图一时方便拿整个系统冒险。
日志别当垃圾看
很多人装完穿透工具就不管了,从不看日志。其实日志里早就有异常登录记录、频繁尝试连接的IP,可等到数据丢了才去翻,黄花菜都凉了。
建议定期查一下访问日志,发现可疑IP马上封掉。像fail2ban这种工具,配好规则能自动拉黑暴力破解的来源。
最小权限原则不能忘
运行穿透服务的账户别用root或管理员权限。万一被攻破,攻击者拿到的就是整个系统的控制权。创建一个专用低权限账号,限制能访问的目录和服务,至少能拖慢对方的脚步。
说到底,内网穿透是个工具,用得好帮你省事,用不好就成了安全隐患放大器。该设密码的设密码,该加加密的加加密,别让便利成了漏洞的代名词。