我有一个安全性较高的网络,需要将数据发送到安全性较低的网络。
该连接必须在物理上无法将数据从低安全性网络发送到高安全性网络。
我想通过修改后的以太网电缆来实现这一点。该电缆仅连接一根 TX+ 至 RX+(引脚 1 至 3)和一根 TX- 至 RX-(引脚 2 至 6)。发送和接收 PC 都运行 ubuntu。
到目前为止,我已经测试将卡设置为全双工速度 100,并在发送方的 arp 表中添加了接收方 MAC 地址的条目。
因此,它失败了。TCPdump 显示没有数据包离开发送计算机。
我还能做些什么还是设置有问题?
简短的回答:不。TCP 是双向协议,发送方发送 SYN 来唤醒接收方,并期望在发送任何内容之前返回 ACK-SYN 以表明接收方已唤醒。硬件可能会检测到切割线上没有载波,并且不会费心发送初始 SYN。
正如 Gerald Schneider 在评论中指出的那样,实现这项工作的最简单方法是使用硬件防火墙。
为此,两个设备都需要连接 RX。
发送者在左边,接收者在右边。这样,双方都会看到链接。请注意,这超出了规格,因为您的负载比正常情况要多,因此建议使用短电缆和优质 NIC,以及点对点连接而不是交换机。
对于要感知 100Mb 全双工链路上的链路的 NIC,它不需要连接 TX 对,只需要 RX 对。此外,它会很高兴地接受自己作为合作伙伴。因此,双方都会有联系。
甚至可以利用这一点来制作无源以太网分路器,只需将 TX 对连接到卡上的 RX 即可嗅探流量,而无需发送流量。