如何设置登录密码错误5次后封禁登录IP五个小时？

[Huaweidev]

如何设置登录密码错误5次后封禁登录IP五个小时？在SakuraFrp Launcher 版本3.1.3.2/3.1.7/0.51.0-sakura-12.3设置里没找到。

• 不想启用网页密码验证后登录。
• 如果使用https://rdpguard.com/download.aspx RdpGuard这款软件来设置规则，是否会与SakuraFrp Launcher冲突？会不会起到作用？

[LTHPKBTE]

看起来你正在映射 rdp 服务。
需要注意的是樱花只负责『将流量转发到你的应用』，至于 rdp 的密码验证是否正确是由 你的电脑系统 处理的，sakura 无从得知其验证结果，自然也无法实现 “密码错误xx次后封禁” 的功能。
至于第三方软件，如果它不支持识别代理后IP的话你的流量和攻击者的流量在它看来都来自同一个IP，无法将攻击者和你分开。

[Huaweidev]

至于第三方软件，如果它不支持识别代理后IP的话你的流量和攻击者的流量在它看来都来自同一个IP，无法将攻击者和你分开。

感谢帮助，我是担心攻击者在远端通过扫描及端口指纹信息获知IP:Port信息后暴力破解，我假定攻击者与我本人不是同一个地址，则可以在远端计算机进行封禁，这样可以吗？

[LTHPKBTE]

这当中，sakurafrp 节点和 frpc 并不知道你正在遭受攻击（rdp 的流量是加密的，在不使用深度包分析等技术的情况下无从得知流量是验证爆破攻击包还是正常流量），而如果你在 frpc 和 rdp 之间部署防御措施，并且该防御措施不支持 [Proxy Protocol](https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt) 等代理协议的话，该软件在通过映射访问的情况下只能获得 frpc 的内网 IP（e.g. 127.0.0.1），因此在不支持代理的情况下在这一层进行屏蔽和拉黑比较麻烦

[Huaweidev]

RdpGuard仅使用本机Windows日志来判断攻击者主机的非法连接并封禁。

It monitors the logs on your server and detects failed logon attempts. If the number of failed logon attempts from a single IP address reaches a set limit, the attacker's IP address will be blocked for a specified period of time.

我有2个疑问：

1. SakuraFRP的frpc.exe能否体现不同远程主机的连接？如果可以，则RdpGuard可以正常封禁。如不可以，则任何远端访问都只显示为127.0.0.1，则无法区分不同访问者。
   我测试后发现安全日志显示如下，即日志无法区分远程连接主机的真实IP：

进程信息:
	进程 ID:		0x590
	进程名称:		C:\Windows\System32\svchost.exe

网络信息:
	工作站名称:	DESKTOP-6EB38AU
	源网络地址:	127.0.0.1
	源端口:		0

详细的身份验证信息:
	登录进程:		User32 
	身份验证数据包:	Negotiate
	传递的服务:	-
	数据包名(仅限 NTLM):	-
	密钥长度:		0

创建登录会话时，将在被访问的计算机上生成此事件。

3. 如果按上述日志，Windows日志和RdpGuard不能区分访问者IP，只能在RdpGuard内设置连续三次错误密码则封禁IP，结果测试后发现这个软件不支持封禁127.0.0.1（访问失败不纳入计数），只能对类似192.168.xxx.xxx这样的IP封禁。看来还是要靠SakuraFRP服务器的恶意IP安全策略来保护了。

[LTHPKBTE]

frpc 本身能认出不同用户在尝试连接（将 frp 日志等级提高到 Debug 或更高，即可在日志中看到尝试连接的人的公网 IP）但是无法区分该连接的性质，如前文所述。
不是很清楚你描述的 “体现不同远程主机的连接” 是指什么动作，如果是日志的话 debug 日志会记录，但是只会记录连接信息，如果要将其和攻击信息结合起来防护，最好的方法还是使用能解析 Proxy Protocol 的服务并使用它。不启用 Proxy Protocol 的话 frpc 只能正常建立连接，它目前并没有 fakeIP 之类的机制能伪装外部 IP 到流量上。

[Huaweidev]

谢谢详细解答和帮助：

frpc 本身能认出不同用户在尝试连接

设置日志等级为追踪后能看到广域网IP了，但是这个不会写入Windows安全日志，安全日志里仍是127.0.0.1。

体现不同远程主机的连接” 是指什么动作

就是在不同城市连接frpc.exe，能识别到IP不同，现在知道追踪等级日志能识别到。

目前总结安全策略有如下三级：

1. 如果不担心安全：使用SakuraFRP官方服务器后台设置的屏蔽国外恶意IP即可。
2. 稍微考虑安全：可以设置组策略的账户锁定阈值（Account lockout threshold）为3次或5次也够用。
3. 特别注重安全：可以打开SakuraFRP官方的访问密码功能。

更新RdpGuard 官方答复，结论是RdpGuard 完全无法用于对FRP的安全防护。

RdpGuard can only work with the real IP address that Windows records
in the Security Event Log. In your setup, FRP rewrites every remote IP
to 127.0.0.1, so Windows never sees the actual external address - it
only sees 'local' traffic. Because of that, no 4625 events with a real
IP are generated, and RdpGuard has nothing to block.
So yes - with FRP rewriting all traffic to 127.0.0.1, RdpGuard cannot
protect you, because the necessary IP information is removed before it
reaches Windows.
To use RdpGuard, you would need a configuration where the real remote
IP is preserved

RdpGuard 只能与 Windows 在安全事件日志中记录的真实 IP 地址配合使用。在你的设置中，FRP 将所有远程 IP 重写为 127.0.0.1，因此 Windows 根本看不到真实的外部地址，而只识别为“本地”流量。正因如此，不会产生带有真实 IP 的 4625 事件，RdpGuard 也就无从进行拦截。
所以，是的——当 FRP 将所有流量重写为 127.0.0.1 时，RdpGuard 无法保护你，因为必要的 IP 信息在到达 Windows 之前就被移除了。若要使用 RdpGuard，你需要一种能够保留真实远程 IP 的配置。