Limite os convidados do ESXi a um ip público

Navegue suas respostas
2

Eu tenho coçado minha cabeça nesta questão nas últimas semanas. Eu tenho procurado, mas não consigo encontrar a resposta que quero. Talvez eu seja apenas ruim em pesquisar embora. Em qualquer caso, qualquer feedback sobre este assunto é bem-vindo.

Estou executando o ESXi 5.5 (grátis) com cinco convidados (mais no futuro). Eu tenho seis endereços IP de Internet públicos que são roteados para a porta física na qual meu servidor está conectado.

O que eu quero alcançar é esta configuração:

  • O host tem o endereço IP X.Y.Z.10
  • O convidado A tem endereço IP X.Y.Z.11
  • O convidado B tem o endereço IP X.Y.Z.12
  • O convidado C tem o endereço IP X.Y.Z.13
  • O convidado D tem o endereço IP X.Y.Z.14
  • O convidado E tem o endereço IP X.Y.Z.15

Atualmente isso é conseguido configurando o ip manualmente em todos os hóspedes. No entanto, quero impossibilitar que o Guest C capture o endereço do Visitante B alterando a configuração de rede do convidado. X.Y.Z.12 deve estar disponível apenas para o Convidado B. O administrador local de cada convidado deve ter acesso root à sua própria máquina.

Isso é possível apenas com o ESXi ou eu preciso rotear todo o tráfego através de uma VM executando pfsense, iptables ou similar? Atualmente, não há firewall entre a máquina host e a Internet.

Obrigado antecipadamente.

Editar: Para esclarecer a situação ...

Eu comprei meu próprio servidor e o coloquei em um serverhall sob um contrato de co-location. No acordo eu também comprei um total de seis endereços IP. O próprio servidor tem duas portas Ethernet físicas, embora apenas uma esteja conectada ao comutador físico. Os ip's estão atrelados ao meu port do switch físico, assim qualquer coisa do meu lado que posa como ip X vai pegar esse ip, se isso fizer sentido.

Os convidados estão executando diferentes tipos de linux, principalmente o Debian. Como é meu próprio servidor, os recursos não são um problema. VMs adicionais podem ser colocadas a qualquer momento.

Eu entendo que os administradores de raiz do guest os são capazes de editar os arquivos de rede, mas mesmo que eles não possam, eu não quero que eles sejam bem-sucedidos. O que isso significa é que, se eles mudarem sua configuração de rede, ela não deve funcionar, porque eles têm apenas um dos ip's atribuídos ao seu nic virtual, não todos eles.

Editar 2 Configuração atual após a configuração do VyOS (ver comentários)

    
por Felthragar 09.12.2014 / 15:05

1 resposta

0

Eu resolvi isso instalando o VyOS em uma máquina virtual atuando como gateway. A máquina tinha uma interface conectada ao switch de Internet (no ESXi (vSwitch0)) e, em seguida, uma interface por máquina cliente (conectada ao seu próprio switch separado). O que eu fiz então foi configurar uma rede privada em cada interface do cliente (usando o intervalo 10.0.0.0/8) e executar um NAT 1-1 para que os ips públicos fossem encaminhados para o cliente interno.

As etapas usadas para realizar um 1-1 NAT são todas abordadas na documentação oficial aqui: link

Embora essa configuração não seja exatamente o que eu queria no começo (eu queria que os clientes pudessem definir os ips públicos diretamente em suas nics), ela fornece a funcionalidade que eu quero impedindo que os clientes roubem outros ips do que atribuídos.

    
por 05.01.2015 / 14:23

Tags

Apache2 mod_define não está funcionando Dispositivo que não aceita conexões de uma porta encaminhada. Problema de segurança?