Alcanzando el servicio web en diferentes subredes
https://stackoverflow.com/questions/154207
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Sé que esto es una pregunta del servidor, pero quería preguntar de todos modos en caso de que alguien haya hecho esto antes.
Tengo un servicio web que está en nuestra subred interna 172.x.x.x y un servidor web que está en nuestra subred interna 10.x.x.x. El servidor web debe llegar al servicio web 172, pero no puede enrutar allí. La verdadera solución sería convencer a nuestros administradores de red para que pongan el servidor en la red 172 detrás de la DMZ, pero esta solución parece muy remota.
Mi solución rápida y sucia es crear un servidor proxy en una caja que se conecte a ambas redes, para que luego pueda programar mis llamadas de servicio web para que lleguen al servidor proxy. Sin embargo, soy un desarrollador y tengo poco conocimiento sobre cómo configurar esto.
Tengo amigos que han tenido buena suerte con Squid Proxy Server en Nix, pero la única casilla disponible para mí es una de Windows Server 2003. Idealmente, me gustaría algún tipo de proxy que pudiera configurar sobre IIS. ¿Ustedes saben de algo? He visto algunas revisiones para ISA Server 2006, pero no me gustaría cargar el presupuesto corporativo ya que solo lo necesitamos para este servicio web.
Solución
Como mencionó, la mejor opción es meter el servidor web en la DMZ. Siendo imposible, vea si las claves de acceso pueden abrir el puerto apropiado en el cortafuegos solo entre el servidor y el servicio web (y solo para el tráfico http / https) . Si ambos son imposibles, supongo que es posible un proxy (si se permite que el proxy retransmita entre las dos redes).
Sin embargo, lo que siempre me pregunto es en qué circunstancias podría tener un servicio web para el cual tiene una necesidad comercial, pero no está permitido exponerlo en la 'Z'. ¿Son sus llaves de red tan resistentes al cambio que no puede hacer su trabajo? Si es así, salta la nave, hombre! La vida es demasiado corta.
Otros consejos
Es realmente rápido y sucio, pero puede usar la herramienta tcpmon en una máquina con Windows que tiene acceso a ambas redes.
Tengo que estar de acuerdo con Danimal en que la forma correcta de manejar esto sería tener los agujeros apropiados en el firewall. Especialmente si, como ha dicho, la interfaz es importante para una aplicación orientada al cliente.
Me parece que " clientes afectados > 1000 " es un gran caso de negocios para convencer a los administradores de la red, o tal vez a sus jefes para que dediquen el esfuerzo de permitir el tráfico de forma segura.
