为什么需要隧道连接远程桌面
在家办公时,想连公司电脑处理文件,但直接暴露3389端口风险太大。公共网络下,远程桌面协议(RDP)容易被扫描攻击,账号密码可能被暴力破解。这时候,用隧道连接就成了更安全的选择。
隧道的本质是把远程桌面的数据包,套在一条加密通道里传输。外人即使截获数据,也看不到真实内容。常见的做法是借助SSH或frp这类工具,把本地端口映射到目标机器上。
用SSH建立隧道连接Windows远程桌面
假设你有一台Linux服务器作为跳板机,Windows电脑在内网中。你可以先通过SSH登录到这台服务器,再让它帮忙转发RDP请求。
在Mac或Linux终端执行以下命令:
ssh -L 3390:192.168.1.100:3389 user@server-ip -N这条命令的意思是:把本机的3390端口,通过SSH连接,转发到内网IP为192.168.1.100的Windows电脑的3389端口。user是服务器用户名,server-ip是公网服务器地址。执行后隧道就建立了。
接下来打开远程桌面客户端,连接127.0.0.1:3390,实际访问的就是那台内网Windows电脑。
Windows用户怎么操作
没有终端也不怕。可以用PuTTY这类工具实现同样效果。打开PuTTY,填写服务器IP,在Connection → SSH → Tunnels里,输入Source port为3390,Destination为192.168.1.100:3389,选择Local和Auto,点Add。然后连接服务器,隧道就通了。
使用frp实现没有公网IP的穿透
有些场景下,公司网络没有公网IP,SSH跳板机也搭不了。这时候可以用frp这种内网穿透工具。简单说,就是让内网电脑主动连一台有公网IP的服务器,反向建立通道。
在公网VPS上运行frps,配置文件写好监听端口。在公司内网的Windows电脑上运行frpc,指定要暴露的RDP端口。启动后,frpc会连接frps,形成一条可复用的隧道。
在外网用远程桌面连接VPS的某个指定端口,请求就会被自动转到你的办公电脑上。这种方式适合家庭宽带、动态IP环境。
安全提醒不能少
隧道虽然加密,但不代表可以放松警惕。建议关闭远程桌面的默认管理员账户,改用非标准用户名;开启防火墙规则,限制SSH或frp的访问来源IP;定期更新密码,避免被撞库。
比如你可以把公司电脑的远程用户从“Administrator”改成“work-john”,降低被自动化脚本盯上的概率。同时在路由器上设置,只允许特定城市的IP连接SSH服务。
远程办公越来越普遍,与其图省事直接开端口,不如花半小时配个隧道。一次设置,长期安心。