Одностороннє підключення до мережі

У мене дуже параноїдальний клієнт, який працює в двох окремих мережах (одна офлайн, одна в Інтернеті) з окремими ПК тощо.

У мене є завдання в тому, що я написав заявку на них, яка працюватиме в автономній мережі, проте мережа повинна мати можливість надсилати електронні листи клієнтам. Моя ідея полягає в тому, щоб мати мережеве підключення (наприклад, діод) від офлайн-сервера до інтернет-ПК, який би надсилав електронні листи.

Який найефективніший спосіб досягти цього, що є напіввигідним? Чи можу я отримати мережеву карту в одну сторону?

Мережа Windows Server 2008, ПК з Windows.

По суті, вам просто потрібен міжмережевий екран між двома з дійсно чіткими правилами, в основному це називається правилом "Заборонити всім", а потім просто дозволити єдиним одностороннім пунктом вказати на одне вихідне правило порту на те, що вам потрібно. Це легко для хлопця з безпеки / мережі та має бути задовільним для вашого клієнта.

Я б точно не називав їх параноїдальними, і я аплодую їх ставленню до безпеки.

Якщо вони зіткнулися з проблемою окремих мереж, вони, ймовірно, також перейшли до проблеми встановлення брандмауера. Невеликий отвір у брандмауері, який дозволяє лише трафіку порту 25 переходити з певної IP-адреси у вашій офлайн-мережі до певної IP-адреси вашої онлайн-мережі, повинен зробити цей трюк ідеально.

Я б використовував послідовне посилання, у якому на захищеному сервері є лише GND і TX, а в незахищеній мережі - GNS та RX. Ніяке управління потоком, оскільки це не може використовуватися для витоку інформації з незахищеної мережі в захищену.

Я створив би невеликий проксі SMTP-UDP-SMTP, складений у 2 демони. SMTP2UDP і UDP2SMTP.

SMTP2UDP буде невідповідним MTA, який буде працювати в захищеній мережі та приймати електронні листи, які надсилатимуть за допомогою UDP на послідовне посилання.

UDP2SMTP буде працювати в незахищеній мережі та приймати електронні листи через UDP та надсилати їх до справжнього MTA.

На послідовному посиланні я б використовував оптопар, щоб використовувати діод у своїх вимогах.

Якщо ви хочете реалізувати вимоги до листа, ви можете скористатись одностороннім IP-посиланням, яке надсилало свої електронні листи через UDP (або аналогічний однонаправлений протокол) на користувацький демон, який слухав ці пакети та надсилав їх через SMTP на призначений одержувач.

Звичайно, система, що надсилає (офлайн), не мала б уявлення, чи дійсно вони вийшли чи ні. Щоб це підтвердження відбулося, вам потрібна мінімальна налаштування брандмауера, як відповіли Бен і Чоппер3.

Протокол TCP потребує двостороннього зв'язку. Ця настройка схожа на дизайн DMZ , коли ваш додаток працює у надійній інтрамережі, а поштовий сервер та / або одержувачі існують у ненадійній зоні DMZ.

Добре налаштований брандмауер зможе ініціювати з'єднання лише з надійної інтрамережі, а не навпаки. Якщо цього недостатньо, я сумніваюся, що будь-який фізичний зв’язок між двома мережами задовольнить вашого клієнта, а це означає, що ви не зможете відправляти пошту автоматично.

Якщо вони пішли в цій мірі для розділення мереж, тут повинні бути два брандмауери з полем з поштою, посередині. У режимі офлайн дозвольте підключення до цього вікна, щоб скидати повідомлення, надіслані через ваш спеціальний додаток. В Інтернеті дозволяйте лише підключення smtp до поштового сервера.

Ви могли б зробити те саме дуже економічно ефективним за допомогою однієї коробки з двома надомними пристроями з програмним брандмауером, що працює на кожному інтерфейсі.

Я б просто мав два поштові сервери, внутрішній та зовнішній. Попросіть сервери постійно додавати в файл вихідні електронні листи, і кожен так часто перейменувати файл, скопіюйте його на USB-ключ і перенесіть його у вхідну папку на іншому сервері. Ось скільки установок виконують повітряні зазори на мережевих серверах.

Якщо занадто важливо зволікати, його можна надіслати одному з зовнішніх клієнтів.