Время от времени моя компания будет выполнять некоторую интеграцию с третьими сторонами, например вызов веб-службы с наших общих веб-серверов IIS, например, какую-нибудь страницу ASP, например.
Там, где эти интеграции должны быть внесены в белый список IP на другом конце, часто приложения (или, по моему мнению, разработчики / системные администраторы) плохие и будут принимать только один IP-адрес для попыток подключения к белому списку, а не разрешать подсеть нашей компании доступ.
Поскольку у моих веб-серверов есть несколько IP-адресов (разные сертификаты SSL и т. Д.), Основной IP-адрес сервера часто не имеет ничего общего с рассматриваемой интеграцией сайта.
В результате у нас теперь есть различные интеграции, которые могут развалиться, если сервер будет немного перенастроен из-за этого произвольного разделения первичных IP-адресов.
Является ли мой запрос на разрешение доступа целых подсетей для внешних служб необоснованным?
Есть ли способ обойти тот факт, что серверы вызывают службы на основе своего основного IP-адреса, а не любого другого IP-адреса?
Правила NAT (при условии, что вы здесь используете NAT) могут помочь, в зависимости от вашей конфигурации. Вы можете назначить общедоступный IP-адрес для связи между веб-сервером и поставщиком, а затем настроить NAT, чтобы весь исходящий трафик с ваших веб-серверов использовал этот общедоступный IP-адрес в качестве своего перевода.
Очевидно, здесь много подводных камней, но исходя из того, что вы написали, это может сработать.
Запустите эти службы через прокси и внесите прокси-сервер в белый список.
Я определенно могу назначить IP-адрес для этой связи, что и где мне нужно будет делать, чтобы заставить интеграцию использовать его, а не основной IP-адрес веб-сервера по умолчанию?
Имейте в виду, что на сервере уже есть ДРУГАЯ служба, для которой требуется определенный IP-адрес для внешней связи, которые, к сожалению, теперь используются совместно. (два несвязанных веб-сайта теперь должны использовать один и тот же веб-сервер на неопределенный срок!), и это то, от чего я хочу уйти.
Было бы полезно, если бы мы могли получить описание того, как выглядит сеть. Находятся ли веб-серверы в DMZ за брандмауэром, без брандмауэра, непосредственно в диапазоне общедоступных IP-адресов? хост использует несколько физических интерфейсов или просто множество IP-адресов на одном нике?
если вы используете несколько физических / виртуальных сетевых интерфейсов, вы должны иметь возможность поместить статический маршрут в таблицу маршрутизации Windows, например. маска добавления маршрута 255.255.255.255 метрика 1 IF
netsh interface ipv4 show interfaces покажет вам идентификатор интерфейса