Одностороннее сетевое соединение

11

У меня очень параноидальный клиент, который работает с двумя отдельными сетями (одна в автономном режиме, одна в сети) с отдельными компьютерами и т. Д.

У меня есть проблема в том, что я написал для них приложение, которое будет работать в автономной сети, однако сеть должна иметь возможность отправлять электронные письма клиентам. Моя идея состоит в том, чтобы иметь одностороннее сетевое подключение (например, диод) от автономного сервера к онлайн-ПК, который будет отправлять электронные письма.

Каков наиболее эффективный способ добиться этого, который является полуэкономичным? Могу ли я получить одностороннюю сетевую карту?

Сеть Windows Server 2008, ПК с Windows.

windows-server-2008 networking

— bumble_bee_tuna
источник

1

SMTP, по определению, является двусторонним протоколом, поэтому вы никогда не сможете установить истинную одностороннюю связь. Отправляющий сервер всегда должен получать подтверждение от получателя о том, что почта была получена правильно.

— EEAA

3

Как насчет UUCP через sneakernet?

— EEAA

1

Лучше использовать IPoAC, поскольку владельца кроссовок можно подкупить. См .: en.wikipedia.org/wiki/IP_over_Avian_Carriers

— Мирча Вутцовичи

Птичьих перевозчиков тоже можно подкупить .... Тебе просто нужно немного птичьего семени :-)

— Тонни

1

@ErikA правильно: если вы хотите , буквальный перевод односторонний, UUCP является проверенным время способа доставки сообщений в Интернет от автономных компьютеров. Используйте носители с однократной записью (например, диски CD-R), если вы действительно хотите быть уверены, что ваши данные перемещаются только в одном направлении.

— Скайхок

18

По сути, вам просто нужен межсетевой экран между двумя с очень жесткими правилами, в основном то, что называется правилом «Запретить все», а затем просто разрешите одной односторонней точке указать исходящее правило одного порта для того, что вам нужно. Это легко для парня безопасности / сети и должно быть удовлетворительным для вашего клиента.

— Chopper3
источник

10

Я бы точно не назвал их параноиками, и я приветствую их отношение к безопасности.

Если у них возникли проблемы с отдельными сетями, они, вероятно, также столкнулись с проблемой установки брандмауэра. Небольшая дыра в брандмауэре, которая позволяет пропускать трафик только через порт 25 с определенного IP-адреса в вашей автономной сети на конкретный IP-адрес в вашей онлайн-сети, должна отлично справиться с задачей.

— Бен Пилброу
источник

7

Или даже лучше: с определенного mac-адреса. Или еще лучше: с определенного mac-адреса, аутентифицированного 802.1x

— pauska

7

Я бы использовал последовательный канал, который имеет только GND и TX на защищенном сервере и GNS и RX в незащищенной сети. Нет управления потоком данных, так как это может использоваться для утечки информации из незащищенной сети в защищенную.

Я хотел бы создать небольшой SMTP-UDP-SMTP прокси, который состоит из 2 демонов. SMTP2UDP и UDP2SMTP.

SMTP2UDP будет несовместимым MTA, который будет работать в защищенной сети и принимать электронные письма, которые будут отправляться с использованием UDP по последовательному каналу.

UDP2SMTP будет работать в незащищенной сети, принимать электронные письма через UDP и отправлять их в настоящий MTA.

В последовательном соединении я использовал бы оптопару, чтобы использовать диод в требованиях.

— Мирча Вуцовичи
источник

4

Если вы хотите реализовать требования к письму, вы можете использовать одностороннюю IP-ссылку, которая отправляет свои электронные письма через UDP (или аналогичный однонаправленный протокол) на пользовательский демон, который прослушивает эти пакеты и отправляет их через SMTP на сервер. предполагаемый получатель.

Разумеется, отправляющая (автономная) система не имеет представления, действительно ли они вышли из строя или нет. Чтобы это подтверждение произошло, вам нужны минимальные настройки брандмауэра, как ответили Бен и Чоппер3.

— MikeyB
источник

1

Протокол TCP требует двусторонней связи. Эта настройка звучит аналогично дизайну DMZ , где ваше приложение работает в доверенной интрасети, а почтовый сервер и / или получатели находятся в ненадежной зоне DMZ.

Хорошо настроенный межсетевой экран сможет разрешать инициирование подключений только из доверенной интрасети, а не наоборот. Если этого недостаточно, я сомневаюсь, что любое физическое соединение между двумя сетями удовлетворит вашего клиента, а это означает, что вы не сможете отправлять почту автоматически.

— Мартейн Хеемельс
источник

1

IP не требует двусторонней связи.

— MikeyB

1

Он имел в виду ПТС. SMTP работает только через TCP. И TCP требует двухсторонней связи. Я отредактирую его ответ.

— Мирча Вутцовичи

SMTP нуждается в двусторонней связи. Один способ для исходящих SMTP-команд и другой способ для входящих SMTP-ответов. Ответы от целевого SMTP-сервера / процесса должны быть в состоянии достичь SMTP-сервера / процесса в источнике. Поскольку исходный сервер будет использовать временный порт для исходящих подключений, вам необходимо настроить исходный сервер так, чтобы он всегда использовал предопределенный порт для инициирования исходящей SMTP-связи. Таким образом, правило брандмауэра заблокировано для одного исходного порта и одного порта назначения.

— Joeqwerty

Ничто в этом вопросе не требует SMTP. Существует несколько способов отправки почты.

— MikeyB

0

Если они дошли до такой степени, чтобы разделить сети, здесь должны быть два межсетевых экрана с почтовым ящиком посередине. В автономном режиме разрешите подключения только к этому полю, чтобы создавать дампы сообщений для отправки через пользовательское приложение. На онлайн-стороне разрешите только SMTP-соединение с почтовым сервером.

Вы могли бы сделать то же самое очень экономически эффективно, если бы на каждом интерфейсе имелся один брелок с двойным домом, а на каждом интерфейсе работал программный брандмауэр.

— Пол Акерман
источник

0

У меня просто было бы два почтовых сервера, внутренний и внешний. Сделайте так, чтобы серверы постоянно добавляли исходящие электронные письма в файл, и время от времени переименовывайте файл, копируйте его на USB-ключ и помещайте во входящую папку на другом сервере. Именно столько установок выполняют воздушные зазоры на сетевых серверах.

Если задержка слишком важна, ее можно отправить одному из внешних клиентов.

— SilverbackNet
источник