Atingindo o WebService em diferente sub -rede
https://stackoverflow.com/questions/154207
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Sei que essa é uma pergunta de servidor, mas eu queria perguntar de qualquer maneira, caso alguém tenha feito isso antes.
Eu tenho um serviço da web que está na nossa sub -rede interna 172.xxx e um servidor da Web que está na nossa sub -rede interna 10.xxx. O servidor da web precisa atingir o serviço da Web 172, mas é incapaz de ir para lá. A solução real seria convencer nossos administradores de rede a colocar o servidor na rede 172 atrás do DMZ, mas essa solução parece distante.
Minha solução rápida e suja é criar um servidor proxy em uma caixa que se conecte às duas redes, para que eu possa programar minhas chamadas de serviço da web para atingir o servidor proxy. No entanto, sou um desenvolvedor e tenho pouco conhecimento sobre como configurar isso.
Tenho amigos que tiveram boa sorte com o Squid Proxy Server em Nix, mas a única caixa disponível para mim é uma caixa do Windows Server 2003. Idealmente, eu gostaria de algum tipo de proxy que eu pudesse configurar no IIS. Vocês sabem de alguma coisa? Vi alguns comentários para o ISA Server 2006, mas eu odiaria carregar o orçamento corporativo, pois precisamos apenas dele para este serviço da Web.
Solução
Como você mencionou, a melhor opção é amontoar o servidor da web no DMZ. Sendo impossível, veja se os WiremonKeys podem abrir a porta apropriada no firewall Apenas entre o servidor e o serviço da Web (e apenas para o tráfego HTTP/HTTPS). Se ambos forem impossíveis, acho que é possível um proxy (se o proxy puder transmitir entre as duas redes).
O que eu continuo me perguntando, no entanto, está em que circunstâncias você poderia ter um serviço da web para o qual tem uma necessidade comercial, mas não pode expô -lo no 'Z? Seus wiremonkeys são tão resistentes à mudança que você não consegue fazer seu trabalho? Se sim, pule o navio, cara! A vida é muito curta.
Outras dicas
É muito rápido e sujo, mas você pode usar o tcpmon ferramenta em uma máquina Windows que tem acesso a ambas as redes.
Eu tenho que concordar com Danimal que a maneira certa de lidar com isso seria ter os orifícios apropriados cutucados no firewall. Especialmente se, como você disse, a interface for importante para um aplicativo voltado para o cliente.
Parece -me que "os clientes afetados> 1000" é um ótimo caso de negócios para convencer os administradores da rede, ou talvez seus chefes para gastar o esforço em permitir com segurança seu tráfego.
