• 欢迎 游客 来到 SakuraFrp 非官方社区论坛

用法问题 向外网开放端口的潜在风险?

我有 xxx 思路,该如何实现?…… 类似问题。
解决方案
Akahane
玩家设备中的恶意软件,就看服务端的拦截了。且从以上述描述来看,基本没有什么常见的威胁了。

对于同公网 IP 下的其他设备,如不希望其登入服务器,可设置服务端监听的指定 IP 地址。
相关配置项通常为 server-ip,可在 server.properties 配置文件中找到。
可将该项的值设定至 运行 frpc 的主机地址 (此时不能开启 Proxy Protocol)。
随后,其他 IP 地址中的设备连接服务端时,将无法进入。
同时,也可以配置本地防火墙,或安装第三方杀软,来减少恶意软件的威胁。

如实在担心安全性,还有一种方法: 虚拟运行环境。
将 frpc、服务端全部放在 虚拟机 或 Docker虚拟化 环境中运行,并经常备份。
此时,哪怕出事,也基本不会影响到物理主机。
相关的虚拟机、虚拟化创建方式,可参考 MCBBS (服务端) 或 帮助文档 (frpc for Docker)。
按日期排序 按票数排序
Akahane

Akahane

社区用户
管理成员
2022/05/17
216
10
19
23
中国大陆
  • #2
    感谢您的提问。

    “多少” 其实并不好说,要看各类因素,如 是否已公开 IP、防御流量 等。

    目前在网络上,可以找到一些 “扫端口” 服务。其会逐个扫描端口,并查看是否开放、对应的服务内容等。
    因此,只要公开了 IP 地址 (包括解析到它的域名),均有可能被扫描到。

    不过,扫到与否是一回事,有无风险就是另一回事了。
    抛开 MC 服务器不看,不论是 25565 还是 11451,都只是一串端口数字,并没有其他本质上的区别。
    开放了端口,无论是否是 MC 服务器的默认端口,只要能被他人找到 (扫端口),都有被攻击的风险,只是 25565 默认端口的风险或许大一些。

    要减少风险,也应当通过多个方面来实现。
    可参考 帮助文档中的安全指南,了解一些情况,并增加安全性。

    由于此问题的范围较为宽泛、涉及内容和考虑情况多,因此我并没有给出十分准确、有用的解答,敬请谅解。
    如其他用户有更多补充或纠错,欢迎指出。

    如果此问题已解决,请将相应的帖子标记为解决方案,并标记 “已解决”。
     
    好评 1 否决票
    T

    teacherli

    新用户
    2022/06/18
    15
    3
    3
    上海
  • #5
    具体情况为:局域网内windows10主机,运行mc服务端,通过sakurafrp穿透tcp和udp端口25565至外网(使用了raknet,需要开启udp),通过64位无规律数字+字母+符号密码进行访问认证
    不过既然是讨论可能的安全威胁,那么可以认为攻击者已在ip白名单内,可以直接访问我的25565端口
     
    好评 0 否决票
    Akahane

    Akahane

    社区用户
    管理成员
    2022/05/17
    216
    10
    19
    23
    中国大陆
  • #6
    比较常见的漏洞,通常都分服务端类型。
    一些版本特有的漏洞,可能对操作系统、数据文件影响,如:
    • Minecraft Java 1.18 (log4j2)
    其他安全威胁

    玩家在服务器内的行为 类:
    • 跑图或制造大型红石机器,造成主机卡顿、过热或高功率等 (CPU 使用率、内存占用率高)
    • 跑图或违规行为,炸日志和存档文件 (占用存储空间)
    • 大量玩家进入服务器 (占用大量带宽)
    其他似乎也没有什么隐患了。
    多数用户、玩家可能并不清楚操作系统、服务商 (SakuraFrp),甚至于不清楚服务端。而大多数其他漏洞,都是部分版本、服务端等特有的,因此无需太过担心、防范过度。
    设置好服务器内规则,安排好反作弊插件、管理员等,以避免上述玩家在服务器内可能造成的问题,就可以将威胁可能性降至极低了。

    btw,不知道有没有听说过 SRV 解析,可隐藏真实端口号,在一定程度上杜绝了部分玩家获取端口并攻击的情况,但也有一些限制。
     
    好评 1 否决票
    T

    teacherli

    新用户
    2022/06/18
    15
    3
    3
    上海
  • #7
    目前使用的版本是1.18.2,经百度log4j2漏洞已修复,并且使用的是fabric最新版
    游戏内的资源占用问题,不是很担心,因为是3-4人的小服且都是很熟的同学,即使出现这样的情况也可以立即kick甚至stop,反作弊同理(甚至hmcl的整合包都是我发给他们的)
    至于srv解析……同上原因应该不需要,并且不想花钱(
    主要是主机上有一些内部文件,也关注到帮助文档中“涉密不上网,上网不涉密”,对于资料和设备安全有一些担忧
     
    好评 0 否决票
    Akahane

    Akahane

    社区用户
    管理成员
    2022/05/17
    216
    10
    19
    23
    中国大陆
  • #9
    玩家设备中的恶意软件,就看服务端的拦截了。且从以上述描述来看,基本没有什么常见的威胁了。

    对于同公网 IP 下的其他设备,如不希望其登入服务器,可设置服务端监听的指定 IP 地址。
    相关配置项通常为 server-ip,可在 server.properties 配置文件中找到。
    可将该项的值设定至 运行 frpc 的主机地址 (此时不能开启 Proxy Protocol)。
    随后,其他 IP 地址中的设备连接服务端时,将无法进入。
    同时,也可以配置本地防火墙,或安装第三方杀软,来减少恶意软件的威胁。

    如实在担心安全性,还有一种方法: 虚拟运行环境。
    将 frpc、服务端全部放在 虚拟机 或 Docker虚拟化 环境中运行,并经常备份。
    此时,哪怕出事,也基本不会影响到物理主机。
    相关的虚拟机、虚拟化创建方式,可参考 MCBBS (服务端) 或 帮助文档 (frpc for Docker)。
     
    • 支持
    反馈: teacherli
    好评 1 否决票
    解决方案
    您必须登录或注册才可回复。
    顶部 底部
    菜单