deepbytes

Oh my god 才大学就这样，想当年我可以每天篮球场飞奔，打完球就找女友耍…跑跑步吧，当物体在人的眼睛两边往后快速移动时候，你会感觉自己对自己的身体有一种掌控感，慢慢就会好的，啊（老母亲那种啊，和蔼）

月经贴，安全向，只推 ssh 隧道套一切，需要时主动连接，仅自己可见，敏感端口 0 暴露

@ungrownxiaohao @ungrownxiaohao 公司必然 VPN ，合规。个人环境的话，如#2 所说，我自用方案，可以实现用的时候临时启用，不用的时候 rdp 端口也不会暴露公网，安全性拉满，以下供 op 参考：
场景：公网环境—>SSH 隧道-->VPS—>家里 win11 ，家里无公网 IP
1 、前提：距离自己近的 VPS ，我的在香港，因为人在深圳，相当于同城，延迟低，带宽大，免备案
2 、NPS 、NPC 部署在家里 pve 里面的一台 ubuntu 中，同网段的机器都可以用内网穿透，这里主要是用来穿透 win11
3 、配置 NPS 的 TCP tunnel 到家里 win11 ，开放 VPS 端口 60000 映射修改后的 win11 RDP 端口 60000
4 、VPS 最小化开放端口，仅放开 ssh ，和 NPS 客户端认证用的接口 8024 ，80 、443 端口不放开（原因是仅自用，索性不需要 ssl 证书，直接 http ），配置 macOS 到 VPS 的 ssh 隧道，用 alias 和 ssh config 实现自定义一键启动隧道，VPS 常规安全加固，仅仅允许密钥登陆，隧道用户与主用户隔离，隧道用户仅允许端口转发，不允许调用 shell 执行命令
5 、ssh 隧道配置 2 个，一个用于转发 RDP ，一个用于访问 NPS 管理界面（ VPS 中对应端口用 ufw 主动 deny ，实现公网敏感端口零暴露，当且仅当我主动连接时，对我可用，因为 ssh 隧道可绕过防火墙）
6 、更进一步，最近在玩 yubikey ，生成密钥对时，用-so 参数，实现 FIDO2 认证，私钥存在硬件密钥中，理论上无被动泄漏可能，防止意外，我准备了 2 个硬件密钥，用于 backup

以上，完全实现想开就开连接家里内网，win11 浏览器管理家里各种服务，不需要折腾各种 RDP 微软自带规则，全部自己控制，然后在另一台 vps 搭建 rustdesk 远程兜底

OP 这是公司的环境？如果是个人环境的话，我倒是有个人的最佳实践（安全向）

山姆的意大利🇮🇹进口橄榄油，很好喝，又健康，有机的

不是，感觉兄弟你是不是体检有啥问题，不然不会毅然决然辞职，然后不回家，还要减肥……
但愿我想多了，祝你幸福健康

1p 家庭版，用 5 年了