在受限網路中將多個外部 IP 列入白名單的替代方案

我有一個案例，在客戶站點我必須指示客戶將大量外部伺服器 IP 地址列入白名單。公司中的使用者必須能夠連接到每個單獨的伺服器。這對他們的 IT 部門來說很麻煩。我正在嘗試制定一個解決方案，他們可以只將一個 IP 地址或域名列入白名單。

一種解決方案是使用使用者將連接到的反向代理，但使用者將連接到除 80 和 443 之外的埠。我可以將它與用於 ssh 的跳轉框一起使用，但我不太喜歡這種方法，而且他們還需要連接其他一些不起眼的埠。

第二種選擇是使用客戶可以連接的 vpn。然後他們可以連接到我的 vpc (AWS) 內的伺服器。

第三個選項是給每個伺服器一個 dns 名稱，如 server1.example.com、server2.example.com 等。然後客戶可以將 example.com 列入白名單。我不確定客戶的 dns 設置會如何處理這個問題。

有沒有其他人解決過這樣的問題？我試圖找出最簡單的解決方案。

是

如果您的客戶對安全性有點認真，則不允許您從/到他們的網路創建 VPN。如果他們允許您創建 VPN，他們會將其置於防火牆後面，並且他們仍然必須輸入您的 40 個地址（或 400 個）。通常，僅在代理中將 DNS 名稱列入白名單；真正的防火牆不信任 DNS。

因此，如果您對此感到滿意，請選擇代理/跳轉主機，或者給他們 400 個 IP 地址。我不認為他們會感到驚訝。

你也可以給他們一個子網。如果您以這樣一種方式組織您的伺服器，您可以給它們一個 /25 或 /26 並且您保證它們只是該子網中的他的伺服器，那可能會更容易。

引用自：https://serverfault.com/questions/925689