TigerVNC 在 Debian 的网络配置要点
端口与协议
- 默认使用 RFB 协议 通过 TCP 提供远程桌面,端口为 5900 + 显示编号(例如显示号 :1 对应端口 5901)。客户端连接地址形如 IP:1 或 IP:5901。如使用显示号 :2,则需开放 5902,以此类推。为降低带宽占用,可在启动时设置分辨率与色深,例如:vncserver -geometry 1920x1080 -depth 24 :1。
防火墙放行
- 若启用 ufw,需放行对应端口(以显示号 :1 为例):sudo ufw allow 5901/tcp;如使用其他显示号,替换为相应的 5900 + 显示编号。放行后使规则生效:sudo ufw reload。对于云服务器或存在外部访问的场景,仅开放必要端口并尽量限制来源 IP。
地址与路由可达
- 确保客户端与服务器之间的 IP 可达(同一局域网或公网可达),并正确填写服务器的 IP 地址 与 显示号。若服务器位于 NAT/云环境,需配置 端口转发(将公网端口映射到内网服务器的 5901/5902…),或采用反向代理/内网穿透方案。
加密与访问控制
- 建议通过 SSH 隧道 加密 VNC 流量:在客户端执行 ssh -L 5901:localhost:5901 user@server,然后连接 localhost:1。若不使用隧道,应仅在内网开放端口,并配合强密码或只读密码策略(vncpasswd 可设置只读密码)。从安全角度,优先使用 非 root 用户启动 VNC 会话。
systemd 服务与端口一致性
- 使用 systemd 管理时,服务文件中的 显示编号占位符 %i 必须与开放端口保持一致。例如配置端口 5901 时,应启用服务:sudo systemctl enable --now vncserver@:1.service;若使用 :2,则对应 5902,以此类推。服务模板需正确设置 User、PIDFile、ExecStart 等字段,确保与所选显示号一致。
