我很难用语言表达这个问题,所以请耐心听完我的开场白。
我们使用 Solarwinds 的一款名为 Serv-U 的产品作为 sFTP 服务器,因为它具有网关功能,我发现它非常方便。服务器组件安装在内部网络上。网关安装在 DMZ 中。网关不需要从 DMZ 到内部网络打开任何端口,只需要从内部网络到 DMZ 打开任何端口。服务器组件监视网关,当尝试从外部地址进行连接时,服务器会将该连接桥接到内部网络上。我不完全明白它是如何做到这一点的,尽管它一定是某种反向隧道。它运行完美无缺。
我的问题是:
- 是否有一个产品可以通过 SMTP 实现这一功能?
- 是否可以?
- 这个配置是否存在安全漏洞?
感谢收听。
答案1
如果您所需要的只是桥接 TCP 连接,HAProxy 可以为您做到这一点。
https://askubuntu.com/questions/616998/configuring-haproxy-for-smtp-traffic描述了如何操作。基本代理的弱点在于攻击者直接攻击您内部机器的应用程序,而不是通过 DMZ 中的某些东西进行代理。您可以考虑在 DMZ 中托管一个简单的存储转发 MTA,它将接受电子邮件并将其发送到您的内部主机——这更安全,因为外部不会直接与您的内部对话。http://mireka.org/就是一个例子。