Colpire Webservice su diverse sottoreti
https://stackoverflow.com/questions/154207
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
So che si tratta in qualche modo di una domanda del server, ma volevo chiedere comunque nel caso in cui qualcuno l'abbia già fatto.
Ho un servizio Web che si trova sulla nostra sottorete interna 172.x.x.xe un server Web che si trova sulla nostra sottorete interna 10.x.x.x. Il server web deve colpire il servizio Web 172, ma non è in grado di instradarlo. La vera soluzione sarebbe convincere i nostri amministratori di rete a mettere il server sulla rete 172 dietro la DMZ, ma questa soluzione sembra lontana.
La mia soluzione rapida e sporca è quella di creare un server proxy su una scatola che si collega a entrambe le reti, quindi posso quindi programmare le mie chiamate al servizio web per colpire il server proxy. Tuttavia, sono uno sviluppatore e ho poche conoscenze su come configurarlo.
Ho amici che hanno avuto fortuna con Squid Proxy Server in Nix, ma l'unica scatola che è disponibile per me è una scatola di Windows Server 2003. Idealmente, vorrei una sorta di proxy che avrei potuto impostare su IIS. Ragazzi, sapete qualcosa? Ho visto alcune recensioni per ISA Server 2006, ma odio caricare il budget aziendale poiché ne abbiamo bisogno solo per questo servizio web.
Soluzione
Come hai già detto, l'opzione migliore è stipare il web server nella DMZ. Essendo impossibile, vedi se le wiremonkeys possono aprire la porta appropriata nel firewall solo tra il server e il servizio web (e solo per il traffico http / https) . Se entrambi sono impossibili, immagino che sia possibile un proxy (se il proxy è autorizzato a inoltrare tra le due reti).
La cosa che continuo a chiedermi, tuttavia, è in quali circostanze potresti avere un servizio web per il quale hai un bisogno aziendale, ma non ti è permesso esporlo sulla 'Z? Le tue chiavi wiremon sono così resistenti ai cambiamenti che non riesci a svolgere il tuo lavoro? Se è così, salta la nave, amico! La vita è troppo breve.
Altri suggerimenti
È davvero veloce e sporco, ma puoi usare lo strumento tcpmon su un computer Windows che ha accesso a entrambe le reti.
Devo essere d'accordo con Danimal sul fatto che il modo giusto di gestirlo sarebbe quello di fare i buchi appropriati nel firewall. Soprattutto se, come hai detto, l'interfaccia è importante per un'applicazione rivolta al cliente.
Mi sembra che " i clienti interessati > 1000 " è un ottimo caso aziendale per convincere gli amministratori della rete, o forse i loro capi, a spendere gli sforzi per consentire il traffico in sicurezza.
