Network-Share

允許通過外部 IP 訪問共享文件是個壞主意嗎?

  • May 22, 2014

我在一家社會福利中心工作,該中心由 5 個機構組成,彼此相距數公里。

其中 4 個有效地連接到 LAN,但一個沒有訪問權限,我正在考慮在 LAN 內的特定伺服器上打開埠 445 和 139 ,以允許使用其外部 IP 訪問共享文件

問題:

1)這樣做是否可能/合理?我可以使用其外部 IP 創建網路共享嗎?

2)這是一個非常糟糕的主意嗎?如果沒有,有沒有辦法限制可以在沒有硬編碼 IP 的情況下訪問這些文件?歡迎任何與安全相關的建議。

到目前為止我什麼都沒試過,因為我們的埠轉發是由我們的 ISP 管理的。

感謝您的時間。

您應該通過 VPN 連接您的位置。區域網路到區域網路 VPN 或僅限訪問您的文件伺服器。您可以準確地看到誰正在連接到您的 LAN。例如,您可以在您的伺服器上使用來自 Active Directory 的正常 SMB 訪問權限。

您也可以使用 WEBdav 服務,但建議使用 VPN。

按照 DjangoUnchained 的說法,SMB 協議版本 1.0 和 2.0 沒有加密,容易受到中間人攻擊和竊聽。

Windows 2012 上的 SMB 版本 3.0 確實提供了端到端的文件共享加密,但是正如 DjangoUnchained 所說,在這種情況下,站點到站點 VPN 是您的最佳選擇。

引用自:https://serverfault.com/questions/597738