CommuniGate Pro
Версия 6.3
 

Приёмники

Сервер CommuniGate Pro принимает SMTP, IMAP, POP, LDAP и другие TCP соединения, используя Приёмники TCP.
Сервер CommuniGate Pro получает SIP, SNMP, RADIUS, TFTP и другие UDP запросы, используя Приёмники UDP.

Приёмник открывает один или несколько Сокетов Приёмника, и каждый сокет принимает TCP соединения или получает UDP пакеты, направляемые на определённый порт, и, возможно, на указанный локальный IP адрес.

Настройки Приёмника позволяют Администратору Сервера задавать ограничения для удалённых адресов, обеспечивая доступ к сокетам приёмника только для указанных сетей.

Приёмники TCP в CommuniGate Pro могут быть настроены на приём незашифрованных соединений или на приём безопасных (TLS/SSL) соединений.

Приёмники CommuniGate Pro могут ограничивать число соединений, входящих с одного IP адреса. Это может помочь в предотвращении некоторых атак типа Отказ в Обслуживании (DoS).



Приём через несколько сокетов

Службы TCP и UDP используют Приёмники для приёма входящих соединений и пакетов. Каждый Приёмник может использовать один или несколько сокетов приёмника.

Сокет приёмника принимает входящие TCP соединения или получает UDP пакеты на указанный номер порта. Вы должны так же указать, должен ли сокет принимать соединения или получать пакеты на все IP адреса, который имеет компьютер вашего Сервера, или только на определённые адреса.

Например, вы можете создать сокет, которые принимает все соединения на один локальный IP адрес, а другой сокет используется для приёма соединений на другой локальный IP адрес только из указанных сетей.

Из-за природы TCP сокетов, вы не можете иметь два сокета приёмника, использующих один и тот же номер порта на одном и том же локальном IP адресе: если вы создадите сокет приемника на TCP порту N, который работает со ВСЕМИ локальными IP адресами, то вы не сможете создать другие сокеты, работающие на этом же порту N. Если вы создадите сокет приёмника на TCP порту N и укажите локальный адрес xx.xx.xx.xx, то вы сможете создать другой сокет приёмника на том же TCP порту N, но на другом локальном адресе yy.yy.yy.yy.

Если ваш Сервер CommuniGate Pro работает совместно с некоторыми другими серверами, например, с другими Веб серверами, возможно, вы захотите, чтобы ваш Веб сервер использовал один локальный IP адрес, в то время как сервер CommuniGate Pro оказывал HTTP услуги на другом локальном IP адресе - но на том же самом номере порта. Если этот номер порта 80, домен www.company.com указывает на первый IP адрес, а mail.company.com указывает на второй IP адрес, то набрав в браузере http://www.company.com, клиент попадёт на главную страницу Веб сервера, а набрав в браузере http://mail.company.com, клиент попадёт на страницу входа на сервер CommuniGate Pro - несмотря на то, что оба сервера работают на одном компьютере.

Порт Локальный Сетевой Адрес Начальный SSL/TLS Ограничения на удалённые Сетевые Адреса

Для того, чтобы создать новый сокет приёмника, измените значение последнего элемента таблицы с 0 на желаемый номер порта и нажмите кнопку Модифицировать.

Для того, чтобы удалить сокет приёмника, измените номер порта на 0 и нажмите кнопку Модифицировать.

Даже если ваш сервер имеет только один IP адрес, возможно, вам потребуется создать два сокета приёмника для большинства TCP сервисов: один для обычных, незащищённых соединений, и другой (на другом номере порта) для безопасных соединений (смотрите ниже).


Ограничения

Вам может потребоваться чтобы сокет приёмника принимал соединения или получал пакеты только от определённых удалённых сетевых (IP) адресов.

Если удалённый IP адрес входящего соединения или получаемого пакета включён в список Запрещённых Сетевых Адресов, то соединение отвергается, и пакет отбрасывается.

Если вы установили настройку Ограничения в значение Разрешить и перечислили в текстовом поле IP адреса, то сокет будет принимать соединения только от указанных адресов.

Если вы установили настройку Ограничения в значение Запретить, и перечислили в текстовом поле IP адреса, то сокет будет отказывать в установлении соединения всем клиентам, пытающимся установить соединение с указанных (заблокированных) адресов.

IP адреса указываются в многострочном формате. Дополнительную информацию смотрите в разделе Сеть.

Существует разница между Ограничениями Доступа, установленными на уровне сокета приёмника, и ограничениями, установленными в SMTP модуле. Когда удалённый сайт соединяется на SMTP порт вашего сервера и IP адрес сайта не принимается сокетом приёмника, соединение закрывается немедленно. В результате, удалённый сайт будет пытаться использовать другой IP адрес вашего сервера, и затем будет пытаться передать почту через ваш запасной сервер.

С другой стороны, если удалённый сайт включен в Защитный список блокируемых Сервером адресов, SMTP сессия не закрывается немедленно. Вместо этого, SMTP сессия начинается и удалённый (блокированный) сервер может отправить список получателей сообщения. Но SMTP модуль отвергает каждый адрес с сообщением об ошибке "fatal error", что предотвращает попытки блокированного хоста передать сообщения через ваш запасной сервер.

Между Ограничениями Доступа, установленными на уровне сокета приёмника и ограничениями, устанавливаемыми опцией Вход с не-Клиентских Адресов, различий нет. Когда удалённый сайт соединяется с POP, IMAP, WebUser или другим портом доступа вашего Сервера и IP адрес сайта не принимается сокетом приёмника, соединение закрывается немедленно. В результате, удалённый сайт может попытаться использовать все другие IP адреса вашего сервера (а вы, в свою очередь, можете использовать различные наборы правил по ограничению доступа для сокетов приёмника, обслуживающих разные адреса).

С другой стороны, если адреса удалённого сайта не включены в список Сервера Сетевые Адреса Клиентов, сессии не закрываются немедленно. Вместо этого все сессии типа доступ стартуют, и, если опция Вход с не-Клиентских адресов имеет значение Разрешено, на удалённый сайт отправляется сообщение об ошибке до того, как модуль закрывает соединение.


Безопасные сокеты

Задание опция Начальный SSL/TLS возможно только для TCP Приёмников.

Установите опцию сокета приёмника Начальный SSL/TLS в значение вкл для того, чтобы указать компоненту Приёмник начинать установление SSL/TLS сразу после принятия соединения от удалённого сайта. Только когда безопасное соединение установлено, Приёмник позволит коммуникационному модулю начать работу по своему собственному протоколу (IMAP, HTTP и т.д.) - поверх SSL/TLS протокола, обеспечивающего безопасность.

Обратите внимание: Пожалуйста, прочитайте раздел Безопасность и настройте TLS Сертификаты вашего Домена до установления этой опции в значение вкл.

Обратите внимание: Когда Приёмник принимает соединение на Безопасный Сокет, он пытается определить, с каким Доменом CommuniGate Pro соединяется клиент. В этом время никакой информации от клиента на сервер еще не передано, и поэтому локальный IP адрес Сервера, с которым соединился клиент, является единственной информацией, которую CommuniGate Pro может использовать для определения правильного Домена.
Если вы хотите, чтобы Домен имел свой собственный Сертификат Безопасности, и вы хотите использовать этот Сертификат для соединений по Безопасному Сокету, то Домен должен иметь назначенный IP адрес.

Когда Домен выбран, Приёмник получает Сертификат Домена и начинает безопасную (SSL/TLS) сессию. Если выбранный Домен не имеет Сертификата, то соединение обрывается и в Журнал работы CommuniGate Pro помещается сообщение об ошибке.

Обратите внимание: Текущие версии Интернет протоколов поддерживают команды типа STARTTLS/STLS. Эти команды используются для обеспечения безопасных коммуникаций без создания специального Безопасного Сокета на дополнительном порту. Вместо этого используется обычный порт, устанавливается незащищенное соединение, а затем клиент отправляет команду STARTTLS или ей подобную, и сервер с клиентом начинают SSL/TLS сессию. Если используемое вами программное обеспечение поддерживает команду STARTTLS (а в настоящее время большинство SMTP серверов поддерживает её), то вам не надо создавать специальные Безопасные Сокеты для безопасных (SSL/TLS) коммуникаций.

Для того, чтобы указать компоненту Приёмник, что все соединения, приходящие на этот сокет являются SSL/TLS безопасными, но при этом все SSL/TLS операции шифрования/расшифрования будут выполняться внешним устройством, установите значение опции Начальный SSL/TLS сокета приёмника в значение внешний.
Соединения, приходящие на эти порты будут незащищёнными, но компоненты и протоколы более высокого уровня CommuniGate Pro будут обслуживать эти соединения как будто они зашифрованы: операции незащищенного Входа считаются безопасными, команды STARTTLS являются запрещёнными и т.д.


Ограничение Соединений с одного Адреса

Задание опции по ограничению количества соединений возможно только для TCP Приёмников.

Для предотвращения различных атак на Отказ в Обслуживании (DoS), вы можете ограничить число соединений, которые Приёмник может принимать с одного IP адреса (на всех сокетах):

Резерв соединений для Клиентов: Ограничение на соединения с одного Адреса: Не-клиенты:

Вы можете указать модулю осуществлять проверку этих адресов только для тех сетевых адресов, которые не включены в список Сетевые Адреса Клиентов. Значение настройки не должно выходить за рамки общего ограничения количества соединений.

При задании этих настроек вы должны помнить, что:

  • IMAP клиенты обычно открывают несколько соединений с сервером. Если вы устанавливаете эту настройку для IMAP приёмника в значение менее 5, то вы можете причинить проблемы вашим пользователям.
  • Веб браузеры также могут открывать несколько соединений одновременно для получения содержащихся в HTML странице графических файлов и некоторых других элементов.
  • Несколько Веб клиентов могут соединяться с вашим сервером через один прокси, и все они будут считаться соединившимися с вашим сервером с одного IP адреса.

Обратите внимание: во избежание проблем межсерверного взаимодействия, действие этой настройки не распространяется на соединения, устанавливаемые с других серверов, находящихся с CommuniGate Pro в одном Кластере.


Резервирование соединений для Клиентских Адресов

Для предотвращения различных атак на Отказ в Обслуживании (DoS), вы можете зарезервировать определённое количество TCP соединений для клиентов, устанавливающих соединение с Сервером с IP адресов, перечисленных в списке Сетевые Адреса Клиентов.

Если разница между максимальным количеством разрешённых соединений и числом активных соединений равна или меньше указанного здесь значения, то все соединения с не-Клиентских Адресов отвергаются.


Руководство CommuniGate Pro. Copyright © 2020-2023, АО СталкерСофт