Frapper Webservice sur différents sous-réseaux
https://stackoverflow.com/questions/154207
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je sais que c'est une question de serveur, mais je voulais tout de même le demander au cas où quelqu'un l'aurait déjà fait.
J'ai un service Web sur notre sous-réseau interne 172.x.x.x et un serveur Web sur notre sous-réseau interne 10.x.x.x. Le serveur Web doit accéder au service Web 172, mais ne peut pas y accéder. La vraie solution serait de convaincre nos administrateurs de réseau de placer le serveur sur le réseau 172 derrière la DMZ, mais cette solution semble bien loin.
Ma solution rapide et délicate consiste à créer un serveur proxy sur une boîte qui se connecte aux deux réseaux, afin que je puisse ensuite programmer mes appels de service Web pour qu'ils atteignent le serveur proxy. Cependant, je suis un développeur et j'ai peu de connaissances sur la façon de le configurer.
J'ai des amis qui ont eu de la chance avec Squid Proxy Server dans Nix, mais la seule boîte disponible pour moi est une boîte Windows Server 2003. Idéalement, je voudrais une sorte de proxy que je pourrais configurer par-dessus IIS. Est-ce que vous savez quelque chose? J'ai vu des critiques pour ISA Server 2006, mais je n'aimerais pas faire payer le budget de l'entreprise, car nous n'en avons besoin que pour ce seul service Web.
La solution
Comme vous l'avez mentionné, la meilleure option consiste à intégrer le serveur Web dans la zone démilitarisée. Cela étant impossible, voyez si les touches filaires peuvent ouvrir le port approprié dans le pare-feu juste entre le serveur et le service Web (et uniquement pour le trafic http / https) . Si les deux sont impossibles, je suppose qu’un proxy est possible (si le proxy est autorisé à relayer les deux réseaux).
Ce que je ne cesse de me demander, c’est dans quelles circonstances pouvez-vous disposer d’un service Web pour lequel vous avez un besoin professionnel, mais vous n’avez pas le droit de l’exposer sur le 'Z? Vos wiremonkeys sont-ils si résistants au changement que vous ne pouvez pas faire votre travail? Si oui, sautez le bateau, mec! La vie est trop courte.
Autres conseils
C'est vraiment rapide et sale, mais vous pouvez utiliser l'outil tcpmon sur une machine Windows. qui a accès aux deux réseaux.
Je suis d’accord avec Danimal pour dire que la bonne façon de gérer cela consiste à percer les trous appropriés dans le pare-feu. Surtout si, comme vous l'avez dit, l'interface est importante pour une application tournée vers le client.
Il me semble que les " clients concernés > 1000 " C’est une excellente affaire que de convaincre les administrateurs de réseau, ou peut-être leur (s) chef (s) de faire tout leur possible pour permettre votre trafic en toute sécurité.
