我有一个高度安全的网络,需要将数据发送到安全性较低的网络。
该连接必须物理上无法将数据从低安全性网络发送到高安全性网络。
我想通过修改后的以太网电缆来实现这一点。电缆只有一个 TX+ 到 RX+(引脚 1 到 3)和一个 TX- 到 RX-(引脚 2 到 6)连接。发送和接收 PC 都运行 ubuntu。
到目前为止,我已经测试将卡设置为全双工速度 100,并在发送方的 arp 表中为接收方的 mac 地址添加了一个条目。
因此,它失败了。TCPdump 显示没有数据包离开发送机器。
我还能做些什么吗?或者设置有错误?
答案1
为了使其正常工作,两个设备都需要连接 RX。
发送方在左边,接收方在右边。这样,双方都能看到链接。请注意,这超出了规格,因为您的负载比正常情况下要大,因此建议使用短电缆和优质 NIC,以及点对点连接,而不是交换机连接。
对于 NIC 来说,要感知 100Mb 全双工链路上的链路,它不需要连接 TX 对,只需要连接 RX 对。此外,它会很乐意接受自己作为合作伙伴。因此,两个合作伙伴都会有链接。
这甚至可以用于制作被动以太网分接头,只需将 TX 对连接到卡上的 RX 即可嗅探流量,而无需发送流量。
答案2
简短回答:不会。TCP 是一种双向协议,发送方发送 SYN 来唤醒接收方,并等待 ACK-SYN 回复以表明接收方已唤醒,然后才会发送任何内容。硬件可能在切断的线路上检测不到载波,因此不会发送初始 SYN。
正如杰拉尔德施耐德 (Gerald Schneider) 在评论中指出的那样,实现这一目标的最简单方法是使用硬件防火墙。