当社のアプリケーション スイートには、FTP 経由で数十のベンダーに注文書を送信する調達プラットフォームが含まれています。これまで、このアプリケーションは 1 つのサーバーで実行されていたため、これらの FTP 送信は 1 つの IP アドレスから行われていました。長年にわたり、多くのベンダーが社内ネットワークでこの 1 つの IP アドレスをホワイト リストに登録してきました。当社のインフラストラクチャは拡大しており、アプリケーションのこの側面を複数のサーバーでホストする必要があるため、FTP 送信は新しい IP アドレスからこれらのベンダーに送信されることになります。この移行を行うと、ベンダーのファイアウォールなどで送信が拒否され、送信が失敗し始めるのではないかと懸念しています。ベンダーの数が多く、IT リソースの信頼性も異なるため、可能であれば、各ベンダーとこのような移行を調整することは避けたいと考えています。
現在、FTP プロキシについて調査中ですが、他にどのような選択肢があるか知りたいです。他にも同様の問題に遭遇した SaaS ショップがあると思いますので、どのように対処したのかお聞きしたいです。
ありがとう!
答え1
すべてのサーバーを 1 つの IP アドレスに NAT するようにファイアウォールを設定すると、単一の公開 IP を維持しながら、複数の FTP サーバーでサービスをホストすることができます。これは、シスコのダイナミック NAT を使用して実行します。
access-list DNAT-FTP permit <first ip> <subnet>
access-list DNAT-FTP permit <second ip> <subnet>
access-list DNAT-FTP permit <...> <...>
access-list DNAT-FTP permit <last ip> <subnet>
static (DMZ,outside) <ip to nat to> access-list DNAT-FTP
答え2
率直に言って、私は我慢するしかないでしょう。古いアドレス空間に永遠に頼り続けるのは望ましくないでしょう。
できるだけ早く、新しいアドレス空間からベンダーに対するテストを開始してください。IP ホワイトリストが懸念事項である場合、ログインとディレクトリ リスト以上のものをシミュレートする必要はありません。
明らかにテストに失敗したベンダーのケースに取り組みます。テストが成功した場合でも、残りのベンダーに変更を知らせます。すべてのテストが合格したことに満足したら、番号の再割り当てに進むことができます。
私たち自身も SaaS ショップです。ただし、違いは、PI アドレス空間を RIR から直接調達しており、あなたが説明したようなプロセスは実際には存在しないことです。
ベンダー、クライアント、そしてあなた自身の関係を明記しておくと、関係があるかもしれません。たとえば、サービス契約がクライアントの代理人によるものである場合は、クライアントがあなたに代わって変更要求を追跡する必要があるため、少し複雑になる可能性があります。ただし、クライアントが期待するレベルのサービスを提供するには、変更を期限内に完了する必要があることを専門的に明確にしておけば、問題は発生しないはずです。
答え3
1 つの解決策としては、VPN トンネル経由でクライアントにサービスを提供することが考えられます。変更が必要になりますが、トンネルを実装すると、サーバー側で自由に変更を加えることができます。
答え4
サーバーが Linux の場合、iptables を使用して別の外部 IP アドレスとして NAT できます。