Nuestro conjunto de aplicaciones incluye una plataforma de adquisiciones que transmite órdenes de compra vía FTP a docenas de proveedores. Hasta ahora, esta aplicación se ejecutaba en un servidor, por lo que estas transmisiones FTP se originaban desde una dirección IP. A lo largo de los años, muchos proveedores han incluido esta dirección IP en la lista blanca de sus redes internas. Nuestra infraestructura está creciendo y necesitamos alojar este aspecto de nuestra aplicación en más de un servidor y, por lo tanto, se enviarían transmisiones FTP a estos proveedores desde nuevas direcciones IP. Nuestro temor es que si hacemos este movimiento, las transmisiones comenzarán a fallar ya que los firewalls de los proveedores, etc. las niegan. Si es posible, nos gustaría evitar coordinar este tipo de movimiento con cada proveedor debido a la cantidad de proveedores y confiabilidad variable de sus recursos de TI.
Actualmente estamos investigando el proxy FTP, pero me preguntaba qué otras opciones podemos tener. Estoy seguro de que hay otras tiendas de SaaS que se han topado con problemas similares y me encantaría saber cómo los han abordado.
¡gracias!
Respuesta1
Si configura su firewall para NAT todos los servidores a una dirección IP, podrá mantener la única IP pública pero alojar los servicios en múltiples servidores FTP. Harías esto con una NAT dinámica en un Cisco:
access-list DNAT-FTP permit <first ip> <subnet>
access-list DNAT-FTP permit <second ip> <subnet>
access-list DNAT-FTP permit <...> <...>
access-list DNAT-FTP permit <last ip> <subnet>
static (DMZ,outside) <ip to nat to> access-list DNAT-FTP
Respuesta2
Francamente, haría de tripas corazón. No querrás depender de tu antiguo espacio de direcciones para siempre.
Comience a realizar pruebas con sus proveedores desde el nuevo espacio de direcciones lo antes posible. No debería necesitar simular mucho más que un inicio de sesión y un listado de directorio, si le preocupa la lista blanca de IP.
Pasemos al caso de los proveedores que explícitamente no pasan las pruebas. Haga que el resto sea consciente del cambio, incluso si la prueba tuvo éxito. Cuando esté satisfecho de que todas las pruebas hayan pasado, podrá proceder a la renumeración.
Nosotros mismos somos una tienda SaaS. Pero la diferencia es que nosotros mismos adquirimos el espacio de direcciones PI directamente de los RIR y realmente no tenemos ningún proceso como el que usted describe.
Podría ser relevante si indicara la relación entre los proveedores, sus clientes y usted mismo. Por ejemplo, podría ser un poco más complicado si el contrato de servicio es por poder de sus clientes, ya que les obligaría a tramitar las solicitudes de cambio en su nombre. Sin embargo, si deja claro de forma profesional que los cambios deben completarse a tiempo para poder ofrecer a los clientes el nivel de servicio que esperan, entonces no debería haber ningún problema.
Respuesta3
Una posible solución podría ser brindar su servicio a los clientes a través de túneles VPN. Requeriría un cambio, pero una vez que implemente el túnel, podrá realizar cambios en el lado del servidor a voluntad.
Respuesta4
Si el servidor es Linux, puede usar iptables para nat como otra dirección IP externa.