Рейтинг:0

Динамический белый список IP-адресов для регулярной передачи данных домой во время путешествий

флаг fr

Я собираюсь в 100-дневный (глобальный) тур, где мы будем генерировать 1 ТБ видеоданных в день. Чтобы снизить риск потери данных, мы планируем сбросить одну копию жестких дисков с местными добровольцами в каждой стране по пути, которые будут загружать данные со своих домашних подключений обратно на наш сервер.

Мы не хотим открывать сервер для всего мира и хотели бы ограничить доступ только к тем IP-адресам, которые загружают нам данные, но у волонтеров в основном будут динамические IP-адреса. как нам это сделать?

Мы делаем небольшое приложение, которое будет управлять передачей данных, поэтому мы можем добавить в него некоторую пользовательскую логику.

РЕДАКТИРОВАТЬ: Я только что узнал о службах динамического DNS (например, noip.com). Будет ли справедливо предположить, что домашние маршрутизаторы большинства людей будут поддерживать конфигурацию DDNS? Наш сотрудник говорит, что они могут настроить наш белый список брандмауэра так, чтобы он основывался на этом, а не на IP-адресах). Это звучит как простое и безопасное решение. есть идеи?

флаг cn
Bob
Более распространенное бизнес-решение: запустить сервер vpn как единственную общедоступную службу на вашем сервере.Альтернативой является стук портов в качестве дополнительной функции безопасности https://en.m.wikipedia.org/wiki/Port_knocking.
флаг fr
@Bob стучится в порт - звучит как отличный вариант ... хотя не знаю, поддерживает ли его Fortinet
флаг cn
Bob
Что касается вашего редактирования: многие продукты, которые позволяют вводить доверенные источники по их полному доменному имени, а не по IP-адресу, выполняют поиск DNS один раз, когда загружается список с именами хостов, а затем продолжают использовать полученный IP-адрес. Это может привести к неожиданным результатам, когда доверенные источники являются записями DDNS с часто меняющимися IP-адресами... `ddns.example.org` указан как доверенный, но фактически доверенным является только старый IP-адрес, а не текущий.
Рейтинг:1
флаг cn

Как говорит @Bob, лучший способ — запустить VPN-сервер и заставить его использовать его.

Но еще один немного творческий способ сделать это — использовать что-то вроде AWS Lambda & API Gateway. Настройте Lambda для получения IP-адреса вызывающих HTTP-запросов и записи его в очередь SQS. Затем на сервере есть что-то, что использует эту очередь и обновляет брандмауэр. Защитите Lambda с помощью ключа API в API Gateway. Дайте волонтерам сценарий/программу для запуска на USB-накопителе, они запускают программу, она запускает обновление, затем немного ждет и регистрирует их на сервере.

Это все довольно сложно, так что хорошо, если вы рады углубиться в технологию, но если вы хотите что-то простое, просто настройте OpenVPN/Wireguard на своем сервере на случайном порту!

флаг fr
Это именно то, о чем я думал! Но потом я подумал, что может быть есть более простой способ. Прохождение через VPN снизит скорость (нам нужна абсолютная максимально возможная пропускная способность) — и данные будут предварительно зашифрованы, чтобы не было проблем с безопасностью при передаче. Как насчет конфигурации динамического DNS?
флаг cn
Динамический DNS будет работать для связи с сервером — я использую его для обновления поддомена для своей сети, поскольку мой домашний IP-адрес иногда меняется от моего интернет-провайдера. Хотя не уверен, что это сработает для клиентов. WireGuard должен быть быстрее, чем VPN, поэтому может быть хорошим вариантом.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.