事情是这样,本人早上收到了某某云的一条短信,内容如下:
我心想,如果像宝塔、Rustfs、1panel 等这些后台管理面板不暴露在公网上,那还怎么样访问呢?
后面还真让我发现方法了,这些后台管理面板确实不应该轻易暴露在公共网络上,遭遇黑客就可能被破解。我找到的方法如下:
1.内网穿透工具
推荐用于临时或轻量级远程管理。
用于:家庭服务器、测试环境、无固定公网 IP 的场景。
常用工具:
- Cpolar(支持 HTTP/HTTPS/TCP,有免费版)
- frp (Fast Reverse Proxy) (开源,需自建公网中转服务器)
- ZeroNews / nat123 / ngrok 等
原理:
将你本地运行的 http://127.0.0.1:8888(宝塔)或 http://127.0.0.1:9001(RustFS Console)通过加密隧道映射到一个临时或固定的公网地址(如 https://yourname.cpolar.io),但该地址只对你授权的人可见,且可设置密码或 IP 白名单。
2.通过 SSH 隧道(最安全)
适用于:Linux 服务器、有 SSH 访问权限的场景。由于这是本人的服务器,所以我知道密码,故采用这种方式。
以我例:
这里我的宝塔端口是 12505。那么我需要输入这样的命令即可:
# 由于ssh无法通过root用户连接,这里我使用的是默认的ubuntu用户
ssh -L 12505:localhost:12505 ubuntu@ip地址
输入完成后,就会需要你输入该用户的密码了,正确的话,那么就可以直接在本地访问了:
# 宝塔的记得是https
https://localhost:12505
这样咱们就进来了。
如果你想断掉,只需要关闭 打开的终端窗口即可关闭。
3.搭建 私有 VPN 或 Zero Trust 网络
适用于:企业环境、多设备频繁管理、高安全要求。
工具选择:
- WireGuard(轻量、高性能)
- OpenVPN
- Tailscale / ZeroTier(基于 WireGuard,一键组网)
效果:
你的电脑和服务器加入同一个虚拟内网(如 100.64.0.0/10),之后你可以像在局域网一样直接访问 http://10.0.0.10:8888,而无需任何端口暴露。
例如:
服务器内网 IP:10.10.0.5
你本地电脑加入 Tailscale 后获得 IP:100.64.1.2
直接浏览器打开 http://10.10.0.5:8888/xxx 即可,全程加密,公网不可见。
4.限制访问源
如果你必须临时开放端口(比如运维需要),请务必配合以下措施:
- 修改默认端口(如宝塔从 8888 → 28888)
- 启用 IP 白名单(宝塔面板支持;云服务器安全组也设白名单)
- 强制 HTTPS + 强密码 + 双因素认证(2FA)
- 定期查看登录日志,发现异常立即封禁
这种方式还是有风险,是最次的选择。
