مشکل در وجود امکان تغییر آی پی توسط کاربر به دلخواه از روی آی پی های usable سابنت

[kool]

سلام
لطفا همکارانی که آگاهی دارن در این مورد پاسخ بدن: (در مورد سابنت های دیتاسنتر هتزنر بر روی ESXi)

آیا در سیستم های شما نیز کاربر میتونه آی پی رو به دلخواه تغییر بده؟
(البته این در صورتی که از آی پی های سابنت به صورت شخصی استفاده بشه مشکلی نداره.) ولی اگه مثلا برای مجازی سازی و ارائه سرور مجازی به کاربر استفاده شود به نظر اشکال دارد!
در این آموزش هایی که هست تنها آی پی ها پینگ و اینترنت برقرار میشه ولی یه موردی ناقص هست که کاربر در چند ثانیه میتونه آی پی رو به دلخواه از بین آی پی های usable سابنت تغییر بده! (البته این مورد رو خودم تست کردم و از اینها دست کاربر ندادیم.)

آیا برای این مورد روشی وجود داره؟ مثلا با استفاده از مک و یا ایجاد کارت شبکه مجازی به تعداد سرور مجازی مورد نظر و یا روش دیگر ؟ (چون به هر حال به نوعی هر ماشین مجازی و هر آی پی باید به هم وابسته بشن که با تغییر آی پی، اتصال قطع شود!)


- به هیچ عنوان درخواست دسترسی نیز نکنید/ این تنها یک سوال عمومی در جهت امنیت است! که حال شاید بسیاری از مدیران سرور نیز بدون توجه به این مورد دارن استفاده می کنن.
ولی آیا تمام کاربران بدون بررسی و کنجکاوی دیگر آپشن ها از آی پی که براش مشخص کردید استفاده خواهد کرد؟


- در این مورد به چند تن از همکاران که در آموزش های مرتبط شرکت کرده بودند پیام خصوصی دادم ولی هیچ پاسخی ارسال نکردند. که حال دلیلش یا اطلاع یا راهکاری برای این مورد نداشتن، و یا نخواستن راهکار رو توضیح بدن.
(دوستانی که راهکار دارن بفرمایند راهکار از طریق چه نرم افزار یا سیستم عاملی (مثلا میکروتیک) قابل اجراست؟ و مشکلی نداره اگه تمایل نداشتن توضیح روش انجام رو ندن. یا اگه هزینه جهت توضیح می خواهید بفرمایید در صورت توافق پرداخت شود)


و لینک چند عدد از این آموزش ها:
http://www.webhostingtalk.ir/showthread.php?t=115748
http://www.webhostingtalk.ir/showthread.php?t=149038
http://www.webhostingtalk.ir/showthread.php?t=152670


اینم لینک آموزش خود هتزنر که باز نتونستم مورد مرتبط با سوال خودم پید کنم:
http://wiki.hetzner.de/index.php/VMware_ESXi/en#Subnets



روش تست این مشکل: پس از روت کردن سابنت و برقراری اینترنت، یک سرور مجازی ویندوز با کارت شبکه دوم ایجاد کنید و روشنش کنید و آی پی و ... رو بدید. با ریموت متصل نشید چون با تغییر آی پی اصولا ارتباط قطع میشه.
از طریق کنسول همواره متصل بمونید و مثلا اولین آی پی usable سابنت رو بهش بدید، حال از تنظیمات شبکه داخل ویندوز آی پی usable بعد را وارد کرده و تایید کنید، حال با جستجوی my ip در گوگل از طریق یکی از سایت ها آی پی سرور مجازی خود و نتیجه را مشاهده کنید.

با تشکر

[pakradm]

عرض سلام و احترام

همانطور که خودتان اشاره فرمودید، شما می بایست ابتدا بر هر سرور مجازی یک MAC اختصاصی در نظر بگیرید.
سپس در Firewall میکروتیک در قسمت Filter Rules دسترسی اینترنت را برای همه ببندید.
در نهایت به تعداد سرور های مجازی خود Rule بسازید و در آن ها موارد Src. Address و Src. MAC Address را متناسب با هر سرور مجازی وارد نموده و دسترسی اینترنت به ایشان بدهید.

[kool]

عرض سلام و احترام

همانطور که خودتان اشاره فرمودید، شما می بایست ابتدا بر هر سرور مجازی یک MAC اختصاصی در نظر بگیرید.
سپس در Firewall میکروتیک در قسمت Filter Rules دسترسی اینترنت را برای همه ببندید.
در نهایت به تعداد سرور های مجازی خود Rule بسازید و در آن ها موارد Src. Address و Src. MAC Address را متناسب با هر سرور مجازی وارد نموده و دسترسی اینترنت به ایشان بدهید.

با عرض سلام و احترام
این روش را در هتزنر و بر روی سابنت تست کرده اید؟ چون در پنل هتزنر برای آی پی های سابنت نمی توان مثل آی پی های تکی مک اختصاصی ایجاد کرد.
مگر اینکه به صورت دستی خودمان تخصیص دهیم که این مورد تست نکرده ام شاید مشکل یا اختلال دیگری ایجاد کند.


با تشکر

[pakradm]

با عرض سلام و احترام
این روش را در هتزنر و بر روی سابنت تست کرده اید؟ چون در پنل هتزنر برای آی پی های سابنت نمی توان مثل آی پی های تکی مک اختصاصی ایجاد کرد.
مگر اینکه به صورت دستی خودمان تخصیص دهیم که این مورد تست نکرده ام شاید مشکل یا اختلال دیگری ایجاد کند.


با تشکر

سلام مجدد

متاسفانه تاکنون سرور از دیتاسنتر Hetzner نداشته ام.
اصلا مهم نیست این MAC را چه کسی تعریف می کند. حتی میتوانید از MAC ای که اتوماتیک VMware به سرور مجازی می دهد هم استفاده کنید(همین شرایط فعلی سرورهایتان)
مهم این است که شما در روتر که پل اتصال سرور ها به اینترنت می باشد، با مشخص نمودن IP و MAC اجازه دسترسی به اینترنت بدهید.
پیشنهاد می نمایم این راه حل را یکبار تست فرمایید. چون فرآیند خطرناکی نبوده و لازم نیست نگران Abuse باشید.

[kool]

درود
بله راستش منم به نظرم اومد که از همون مک اتوماتیک خودشون استفاده کنم فقط احتمال دادم در ریستارت/شات دان یا آپدیت ESXi یه موقع تغییر کنن و ویرایش نیاز شود. (فعلا همون مک اتوماتیک رو بعد از ایجاد کپی و به صورت دستی وارد می کنم)
در هر حال روش خوبی به نظر می رسد. فقط قبلش باید مقداری با دستورها و تنظیمات میکروتیک آشنا شوم. راستش چون حدود دو روز بیشتر نیست که کار کردن و تجربه این سیستم عامل رو شروع کردم.
اگر امکان داشت مقداری در این مورد راهنمایی کنید. مثلا به چه حالتی به فایروال تعریف کنم که (مک و آی پی آدرس) سورس را با هم بررسی و در صورت طبق رول بودن اجازه ارتباط دهد؟

با تشکر

[pakradm]

سلام مجدد

فقط احتمال دادم در ریستارت/شات دان یا آپدیت ESXi یه موقع تغییر کنن و ویرایش نیاز شود. (فعلا همون مک اتوماتیک رو بعد از ایجاد کپی و به صورت دستی وارد می کنم)

MAC ها فقط یکبار پس از ایجاد سرور مجازی ایجاد می شوند و برای همیشه(اگر شما تغییر ندهید) ثابت باقی خواهند ماند.

اگر امکان داشت مقداری در این مورد راهنمایی کنید. مثلا به چه حالتی به فایروال تعریف کنم که (مک و آی پی آدرس) سورس را با هم بررسی و در صورت طبق رول بودن اجازه ارتباط دهد؟

1- با استفاده از WinBox به میکروتیک خود وصل شوید.
2- به قسمت Firewall مراجعه فرمایید.
3- در تب Filter Rules بر روی دکمه + کلیک فرمایید.
4- مقدار Chain را برابر Forward قرار دهید.
5- مقدار Src. Address را برابر IP مشتری قرار دهید.
6- به تب Advanced بروید و مقدار Src. MAC Address را برابر MAC سرور مجازی مشتری قرار دهید.
7- به نب Action بروید و برای گزینه Action مقدار Accept را انتخاب فرمایید.
8- OK کنید

البته قبل از انجام این 8 مرحله، یک Rule بسازید؛ مراحل را تا 4 جلو بروید و سپس به مرحله 7 بروید و به جای Accept گزینه Drop را انتخاب نمایید. این Rule سبب قطع دسترسی اینترنت همه سرور های مجازی می شود و می بایست همیشه پایین تر از Rule های ایجاد شده توسط 8 مرحله بالا قرار گیرد.

[sami-00]

سلام مطالب خیلی خوبی بود ممنونم از دوستان

[kool]

pakradm @

با درود
عملکرد دراپ اوکی بود چون به مورد خاصی بستگی ندارد.
ولی اکسپت رو باید روش کار کنم شاید با کمی تغییرات بتوان نتیجه مورد نظر رو بدست آورد. همچنین مورد Src. Address رو نیز باید حذف کنیم چون ظاهرا سورس رو برای آی پی خود کاربر حساب میکند و نه آی پی سرور مجازی.

به هر حال خیلی ممنون از شما بابت راهنمایی

با تشکر

[pakradm]

ولی اکسپت رو باید روش کار کنم شاید با کمی تغییرات بتوان نتیجه مورد نظر رو بدست آورد. همچنین مورد Src. Address رو نیز باید حذف کنیم چون ظاهرا سورس رو برای آی پی خود کاربر حساب میکند و نه آی پی سرور مجازی.

سلام مجدد
خواهش میکنم، انجام وظیفه بود

با پوزش، من معنای عبارت Bold شده را متوجه نمی شوم. چون آیپی کاربر با آیپی سرور مجازی یک هست دیگه!!!
همچنین شما نباید Src. Address را حذف کنید! چون دیگر خواسته شما برآورده نمی شود. در حقیقت AND منطقی دو گزینه Src. Address و Src. MAC Address هست که سبب ایجاد محدودیت دلخواه شما می شود.

[kool]

درود
شرمنده کردید
شرمنده پست جدید شما را ندیده بودم. از بولد کردن منظور خاصی نداشتم عزیز. منظورم این بود که روش صحیح است و 99% می توان با این حالت اجرا کرد.
بله باید استفاده شود. متاسفانه درگیر سرویس دیگری هستم و فعلا نتونستم کامل تست کنم.

با تشکر از لطف شما