Одностороннее сетевое соединение

У меня очень параноидальный клиент, который работает с двумя отдельными сетями (одна в автономном режиме, одна в сети) с отдельными компьютерами и т. Д.

У меня есть проблема в том, что я написал для них приложение, которое будет работать в автономной сети, однако сеть должна иметь возможность отправлять электронные письма клиентам. Моя идея состоит в том, чтобы иметь одностороннее сетевое подключение (например, диод) от автономного сервера к онлайн-ПК, который будет отправлять электронные письма.

Каков наиболее эффективный способ добиться этого, который является полуэкономичным? Могу ли я получить одностороннюю сетевую карту?

Сеть Windows Server 2008, ПК с Windows.

По сути, вам просто нужен межсетевой экран между двумя с очень жесткими правилами, в основном то, что называется правилом «Запретить все», а затем просто разрешите одной односторонней точке указать исходящее правило одного порта для того, что вам нужно. Это легко для парня безопасности / сети и должно быть удовлетворительным для вашего клиента.

Я бы точно не назвал их параноиками, и я приветствую их отношение к безопасности.

Если у них возникли проблемы с отдельными сетями, они, вероятно, также столкнулись с проблемой установки брандмауэра. Небольшая дыра в брандмауэре, которая позволяет пропускать трафик только через порт 25 с определенного IP-адреса в вашей автономной сети на конкретный IP-адрес в вашей онлайн-сети, должна отлично справиться с задачей.

Я бы использовал последовательный канал, который имеет только GND и TX на защищенном сервере и GNS и RX в незащищенной сети. Нет управления потоком данных, так как это может использоваться для утечки информации из незащищенной сети в защищенную.

Я хотел бы создать небольшой SMTP-UDP-SMTP прокси, который состоит из 2 демонов. SMTP2UDP и UDP2SMTP.

SMTP2UDP будет несовместимым MTA, который будет работать в защищенной сети и принимать электронные письма, которые будут отправляться с использованием UDP по последовательному каналу.

UDP2SMTP будет работать в незащищенной сети, принимать электронные письма через UDP и отправлять их в настоящий MTA.

В последовательном соединении я использовал бы оптопару, чтобы использовать диод в требованиях.

Если вы хотите реализовать требования к письму, вы можете использовать одностороннюю IP-ссылку, которая отправляет свои электронные письма через UDP (или аналогичный однонаправленный протокол) на пользовательский демон, который прослушивает эти пакеты и отправляет их через SMTP на сервер. предполагаемый получатель.

Разумеется, отправляющая (автономная) система не имеет представления, действительно ли они вышли из строя или нет. Чтобы это подтверждение произошло, вам нужны минимальные настройки брандмауэра, как ответили Бен и Чоппер3.

Протокол TCP требует двусторонней связи. Эта настройка звучит аналогично дизайну DMZ , где ваше приложение работает в доверенной интрасети, а почтовый сервер и / или получатели находятся в ненадежной зоне DMZ.

Хорошо настроенный межсетевой экран сможет разрешать инициирование подключений только из доверенной интрасети, а не наоборот. Если этого недостаточно, я сомневаюсь, что любое физическое соединение между двумя сетями удовлетворит вашего клиента, а это означает, что вы не сможете отправлять почту автоматически.

Если они дошли до такой степени, чтобы разделить сети, здесь должны быть два межсетевых экрана с почтовым ящиком посередине. В автономном режиме разрешите подключения только к этому полю, чтобы создавать дампы сообщений для отправки через пользовательское приложение. На онлайн-стороне разрешите только SMTP-соединение с почтовым сервером.

Вы могли бы сделать то же самое очень экономически эффективно, если бы на каждом интерфейсе имелся один брелок с двойным домом, а на каждом интерфейсе работал программный брандмауэр.

У меня просто было бы два почтовых сервера, внутренний и внешний. Сделайте так, чтобы серверы постоянно добавляли исходящие электронные письма в файл, и время от времени переименовывайте файл, копируйте его на USB-ключ и помещайте во входящую папку на другом сервере. Именно столько установок выполняют воздушные зазоры на сетевых серверах.

Если задержка слишком важна, ее можно отправить одному из внешних клиентов.