Динамический белый список IP-адресов для регулярной передачи данных домой во время путешествий

swami

25.05.2023, 11:48

Я собираюсь в 100-дневный (глобальный) тур, где мы будем генерировать 1 ТБ видеоданных в день. Чтобы снизить риск потери данных, мы планируем сбросить одну копию жестких дисков с местными добровольцами в каждой стране по пути, которые будут загружать данные со своих домашних подключений обратно на наш сервер.

Мы не хотим открывать сервер для всего мира и хотели бы ограничить доступ только к тем IP-адресам, которые загружают нам данные, но у волонтеров в основном будут динамические IP-адреса. как нам это сделать?

Мы делаем небольшое приложение, которое будет управлять передачей данных, поэтому мы можем добавить в него некоторую пользовательскую логику.

РЕДАКТИРОВАТЬ: Я только что узнал о службах динамического DNS (например, noip.com). Будет ли справедливо предположить, что домашние маршрутизаторы большинства людей будут поддерживать конфигурацию DDNS? Наш сотрудник говорит, что они могут настроить наш белый список брандмауэра так, чтобы он основывался на этом, а не на IP-адресах). Это звучит как простое и безопасное решение. есть идеи?

0 + 0

iptables

белый список

Bob

25.05.2023, 11:57

Более распространенное бизнес-решение: запустить сервер vpn как единственную общедоступную службу на вашем сервере.Альтернативой является стук портов в качестве дополнительной функции безопасности https://en.m.wikipedia.org/wiki/Port_knocking.

Ответить

swami

25.05.2023, 13:09

@Bob стучится в порт - звучит как отличный вариант ... хотя не знаю, поддерживает ли его Fortinet

Ответить

Bob

25.05.2023, 15:00

Что касается вашего редактирования: многие продукты, которые позволяют вводить доверенные источники по их полному доменному имени, а не по IP-адресу, выполняют поиск DNS один раз, когда загружается список с именами хостов, а затем продолжают использовать полученный IP-адрес. Это может привести к неожиданным результатам, когда доверенные источники являются записями DDNS с часто меняющимися IP-адресами... `ddns.example.org` указан как доверенный, но фактически доверенным является только старый IP-адрес, а не текущий.

Ответить

Рейтинг:1

Server

shearn89

25.05.2023, 12:24

Как говорит @Bob, лучший способ — запустить VPN-сервер и заставить его использовать его.

Но еще один немного творческий способ сделать это — использовать что-то вроде AWS Lambda & API Gateway. Настройте Lambda для получения IP-адреса вызывающих HTTP-запросов и записи его в очередь SQS. Затем на сервере есть что-то, что использует эту очередь и обновляет брандмауэр. Защитите Lambda с помощью ключа API в API Gateway. Дайте волонтерам сценарий/программу для запуска на USB-накопителе, они запускают программу, она запускает обновление, затем немного ждет и регистрирует их на сервере.

Это все довольно сложно, так что хорошо, если вы рады углубиться в технологию, но если вы хотите что-то простое, просто настройте OpenVPN/Wireguard на своем сервере на случайном порту!

0 + 0

swami

25.05.2023, 12:47

Это именно то, о чем я думал! Но потом я подумал, что может быть есть более простой способ. Прохождение через VPN снизит скорость (нам нужна абсолютная максимально возможная пропускная способность) — и данные будут предварительно зашифрованы, чтобы не было проблем с безопасностью при передаче. Как насчет конфигурации динамического DNS?

Ответить

shearn89

25.05.2023, 14:02

Динамический DNS будет работать для связи с сервером — я использую его для обновления поддомена для своей сети, поскольку мой домашний IP-адрес иногда меняется от моего интернет-провайдера. Хотя не уверен, что это сработает для клиентов. WireGuard должен быть быстрее, чем VPN, поэтому может быть хорошим вариантом.

Ответить

Admin

Этот вопрос на других языках:

EN: Dynamic IP address whitelisting for regular data transfers back home while travelling

TH: การอนุญาตที่อยู่ IP แบบไดนามิกสำหรับการถ่ายโอนข้อมูลกลับบ้านเป็นประจำขณะเดินทาง

RO: Lista albă dinamică a adreselor IP pentru transferuri regulate de date înapoi acasă în timpul călătoriei

RU: Динамический белый список IP-адресов для регулярной передачи данных домой во время путешествий

VI: Danh sách trắng địa chỉ IP động để truyền dữ liệu thường xuyên về nhà khi đi du lịch

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.