我们的应用程序套件包括一个采购平台,该平台通过 FTP 将采购订单传输给数十家供应商。到目前为止,此应用程序一直在一台服务器上运行,因此这些 FTP 传输源自一个 IP 地址。多年来,许多供应商已将这个 IP 地址列入其内部网络的白名单。我们的基础设施正在不断增长,我们需要在多台服务器上托管应用程序的这一方面,因此 FTP 传输将从新的 IP 地址发送到这些供应商。我们担心的是,如果我们采取这一举措,传输将开始失败,因为传输被供应商的防火墙等拒绝。如果可能的话,我们希望避免与每个供应商协调这种举措,因为供应商数量众多,而且他们的 IT 资源的可靠性各不相同。
我们目前正在研究 FTP 代理,但我想知道我们可能还有哪些其他选择。我相信我们那里的其他 SaaS 商店也遇到过类似的问题,我很想听听他们是如何解决这些问题的。
谢谢!
答案1
如果您将防火墙设置为将所有服务器 NAT 到一个 IP 地址,您将能够保留单个面向公众的 IP,但将服务托管在多个 FTP 服务器上。您可以使用思科中的动态 NAT 来执行此操作:
access-list DNAT-FTP permit <first ip> <subnet>
access-list DNAT-FTP permit <second ip> <subnet>
access-list DNAT-FTP permit <...> <...>
access-list DNAT-FTP permit <last ip> <subnet>
static (DMZ,outside) <ip to nat to> access-list DNAT-FTP
答案2
坦白说,我只能忍气吞声。你不会想永远依赖你的旧地址空间。
尽早开始从新地址空间针对您的供应商进行测试。如果您关心的是 IP 白名单,那么您不需要模拟太多内容,只需模拟登录和目录列表即可。
了解明确未通过测试的供应商的情况。即使测试成功,也要让其他人知道这一变化。当您对所有测试都通过感到满意时,您就可以继续重新编号。
我们自己就是一家 SaaS 商店。但不同之处在于,我们自己直接从 RIR 采购 PI 地址空间,并且实际上没有任何您描述的流程。
如果您阐明了供应商、客户和您自己之间的关系,这可能会很有帮助。例如,如果服务合同是由您的客户代理签订的,那么可能会有点棘手,因为这需要他们代表您追踪变更请求。但是,如果您以专业的方式明确表示变更必须按时完成,以便您向客户提供他们期望的服务水平,那么就不会有任何问题。
答案3
一种可能的解决方案是通过 VPN 隧道向客户端提供服务。这需要进行更改,但一旦实施隧道,您就可以随意进行服务器端更改。
答案4
如果服务器是Linux,则可以使用iptables将其nat为另一个外部IP地址。