Web Proxy vs Port Forwarding:
El proxy es más fácil de secuestrar y reconfigurar (es una aplicación) que las tablas de enrutamiento del kernel, etc. Además, el proxy web creará más carga que la pila TCP / IP del kernel. Así que el proxy es peor desde el punto de vista de la seguridad y la carga de la máquina.
Problema de arquitectura:
Todas las configuraciones donde permitas conexiones desde DMZ a la red interna son malas y deben evitarse. El problema está en
Necesito acceder al servicio SOAP (red interna) desde el servidor web (DMZ).
No es como debería funcionar la DMZ. Creamos DMZ para separar los servicios del mundo exterior (Internet) de la red interna, de modo que cuando (porque realmente es CUÁNDO, no SI) se pusieron en peligro, el atacante no puede moverse fácilmente para salir de la red local.
Solución sugerida:
Puede crear un segundo DMZ restringido para el servicio SOAP y configurar el reenvío de puertos solo para el tráfico proveniente de su servicio web en DMZ y en la red interna. De esta manera, el servicio SOAP está protegido de la misma manera que cuando está en la red interna, pero además, cuando está comprometido, no abre la red interna al atacante.