Нажав на веб-сервис в другой подсети

Question

Я знаю, что это в некоторой степени вопрос сервера, но я все равно хотел спросить, если кто-то делал это раньше.

У меня есть веб-сервис, который находится в нашей внутренней подсети 172.x.x.x, и веб-сервер, который находится в нашей внутренней подсети 10.x.x.x. Веб-серверу необходимо подключиться к веб-службе 172, но он не может направить туда. Реальным решением было бы убедить наших сетевых администраторов поместить сервер в сеть 172 за демилитаризованной зоной, но это решение кажется далеким.

Мое быстрое и грязное решение состоит в том, чтобы создать прокси-сервер на коробке, которая подключается к обеим сетям, чтобы я мог затем запрограммировать вызовы своих веб-служб для подключения к прокси-серверу. Тем не менее, я разработчик и мало знаю, как это настроить.

У меня есть друзья, которым повезло с Squid Proxy Server в Nix, но единственный доступный для меня ящик - это Windows Server 2003. В идеале я хотел бы иметь какой-то прокси-сервер, который я мог бы установить поверх IIS. Ребята, вы знаете что-нибудь? Я видел некоторые обзоры для ISA Server 2006, но я не хотел бы взимать корпоративный бюджет, так как он нужен нам только для этого одного веб-сервиса.

Answer 1

Как вы упомянули, лучший вариант - втиснуть веб-сервер в DMZ. Это невозможно, посмотрите, могут ли wiremonkeys открыть соответствующий порт в брандмауэре только между сервером и веб-службой (и только для трафика http / https) . Если оба варианта невозможны, я полагаю, что прокси-сервер возможен (если прокси-серверу разрешено передавать данные между двумя сетями).

Однако я постоянно спрашиваю себя, при каких обстоятельствах у вас может быть веб-сервис, для которого у вас есть деловые потребности, но вам не разрешено выставлять его на «Z»? Ваши проводные обезьяны настолько устойчивы к изменениям, что вы не можете выполнить свою работу? Если так, прыгай с корабля, чувак! Жизнь слишком коротка.

Answer 2

Я должен согласиться с Danimal, что правильный способ справиться с этим - это сделать соответствующие отверстия в брандмауэре. Особенно, если, как вы сказали, интерфейс важен для приложения, ориентированного на клиента.

Мне кажется, что "клиенты затронули> 1000" - это отличный бизнес-пример, чтобы убедить сетевых администраторов или, возможно, их боссов (ов) затратить усилия на безопасное пропускание вашего трафика.

Answer 3

Это действительно быстро и грязно, но вы можете использовать инструмент tcpmon на машине с Windows, имеющей доступ к обеим сетям.