Лучший способ безопасно обмениваться большими файлами? [закрыто]
У меня есть куча видеофайлов, которые я хотел бы, чтобы мой друг мог скачать, когда ему будет удобно. Он может понять, как использовать ftp-клиент и тому подобное, но он не разбирается в технологиях как таковой, поэтому я бы предпочел способ, требующий от него как можно меньше усилий.
Мои настройки:
быстрое оптоволоконное соединение, что, кстати, потрясающе.
пара старых стоечных серверов, работающих 24/7, что немного шумно, но также здорово.
настройка сети с выделенной DMZ, которая не может достичь моей частной LAN
В настоящее время у меня есть два виртуальных сервера, работающих в DMZ, первый - файловый сервер dmzstorage, а второй - accessserver, оба работают под управлением ubuntu server 18.04
Идея состоит в том, что dmzstorage хранит файлы, которыми я хочу поделиться, в то время как сервер доступа имеет соединение NFS только для чтения с общими файлами на dmzstorage и обрабатывает доступ извне. Это позволяет мне быстро и легко опробовать несколько вариантов внешнего доступа, сохраняя при этом файловый сервер нетронутым.Я могу создать кучу разных версий сервера доступа виртуально и в конечном итоге оставить ту, которая мне нравится больше всего.
Я экспериментировал с sftp на сервере доступа.
Мне нравится, что это безопасно и требует от моего друга только найти ftp-клиент, поддерживающий sftp (что многие и делают).
Мне не нравится, что мне приходится открывать порт 22 наружу. Несмотря на то, что я создал пользователя для своего друга без доступа к оболочке, он все еще мешает мне оставить порт 22 открытым.
Одним из решений может быть запуск двух экземпляров ssh на сервере доступа, обычного на порту 22, чтобы я мог управлять сервером из моей локальной сети, и другого экземпляра только sftp, работающего на порту 2222, а затем заставить мой брандмауэр преобразовать мой внешний IP-адрес. через порт 22 к моему серверу доступа на порту 2222 - таким образом мой друг не заметит разницы, и черные шляпы попытаются выполнить доступ по ssh через порт, который не поддерживает оболочку ssh.
Вопрос в том, есть ли более умный / лучший / простой способ сделать это? Сервер доступа не должен запускать Linux, если что-то лучше работает с каким-то готовым решением или, возможно, с Windows, настройка общего ресурса samba на dmzstorage не имеет большого значения.
Так как бы вы это сделали?
1 ответ
Если Вы хотите, чтобы Ваш друг получил доступ к этим файлам непосредственно в Вашей сети, необходимо будет открыть некоторый порт. Вы могли добавить некоторую безопасность через мрак при помощи случайного порта к внешнему миру (как Вы уже предположили).
Вы не сказали нам, какой брандмауэр/маршрутизатор Вы используете, но обычно должно быть возможно передать Ваш порт Интернету со случайным числом, в то время как все еще способность получить доступ к нему внутренне с другим портом, хотя я не вполне понимаю причины, почему Вы хотели бы другой номер порта вместо того, чтобы просто использовать тот же (случайный) порт внутренне и внешне:
https://www.liquidweb.com/kb/changing-the-ssh-port/
Кроме этого, SFTP является, вероятно, самым легким настроить при обеспечении функций, в которых Вы нуждаетесь. Немного более сложным решением могли бы быть FTPS с vsftpd, который является только небольшой более сложный для установки и также обеспечивает шифрование.