frp开了ssh后，只要一次ssh登录，就能进入frpc岂不是不安全,能改进吗？

Jerry***

frp开了ssh后，只要一次ssh登录，就能进入frpc岂不是不安全,能改进吗？

   能不能在frps， frpc 上用iptables对 来源ip 做限制？  使只有来自于某网段的ip才能ssh 通过frps，进入frpc  ？

jun***

什么逻辑？

能进 ssh + root ，几乎无所不能

难道你的 ssh 和root 信息泄露给别人，又想不让别人搞破坏？

根本不关 frp 乌事。

Jerry***

junyee 发表于 2017-5-9 10:32
什么逻辑？

能进 ssh + root ，几乎无所不能

http 登录时，就有2次验证。 一次是自己设的 frpc的密码， 一次是frpc所在的机器的登录密码。  :）  。  但ssh登录时就只有一次密码验证。  

Jerry***

Jerry-pipi 发表于 2017-5-9 10:38
http 登录时，就有2次验证。 一次是自己设的 frpc的密码， 一次是frpc所在的机器的登录密码。  :）  。   ...

假设一种场景， 需要从固定网段去ssh管理多个frpc 。 但不是从这个固定网段去连 frps， 就拒绝。

jun***

Jerry-pipi 发表于 2017-5-9 10:40
假设一种场景， 需要从固定网段去ssh管理多个frpc 。 但不是从这个固定网段去连 frps， 就拒绝。

这是防火墙的功能。
iptables 拒绝来源地址的端口连接即可。

Jerry***

junyee 发表于 2017-5-12 08:53
这是防火墙的功能。
iptables 拒绝来源地址的端口连接即可。

问题是， 多个frpc也会从不同的ip段（并且这个ip段会变的） 去连接 frps 吧。  那如果须frps所在的vps做来源拒绝，  是不是把frpc的请求也拒绝了？

jun***

Jerry-pipi 发表于 2017-5-12 10:11
问题是， 多个frpc也会从不同的ip段（并且这个ip段会变的） 去连接 frps 吧。  那如果须frps所在的vps做 ...

假设一种场景， 需要从固定网段去ssh管理多个frpc 。 但不是从这个固定网段去连 frps， 就拒绝。

这是你说的~

只允许某一网段连接。

用 iptables 很容易就能做到。