过去几周我一直在思考这个问题。我一直在搜索,但找不到我想要的答案。也许我只是不擅长搜索。无论如何,欢迎就此问题提供任何反馈。
我正在运行 ESXi 5.5(免费),有 5 个客户机(将来会支持更多)。我有 6 个公共 Internet IP 地址,它们路由到我的服务器所连接的物理端口。
我想要实现的是这种设置:
- 主机的 IP 地址为 XYZ10
- 访客 A 的 IP 地址为 XYZ11
- 访客 B 的 IP 地址为 XYZ12
- 访客 C 的 IP 地址为 XYZ13
- 访客 D 的 IP 地址为 XYZ14
- 访客 E 的 IP 地址为 XYZ15
目前,这是通过在每个客户机上手动配置 IP 来实现的。但是,我想通过更改客户机网络配置,使客户机 C 无法窃取客户机 B 的地址。XYZ12 应该只对客户机 B 可用。每个客户的本地管理员必须对其自己的机器具有 root 访问权限。
仅使用 ESXi 是否可行,还是需要通过运行 pfsense、iptables 或类似程序的 VM 路由所有流量?目前主机和 Internet 之间没有防火墙。
提前致谢。
编辑: 为了澄清情况...
我购买了自己的服务器,然后根据共置协议将其放在服务器大厅。在协议中,我还购买了总共六个 IP 地址。服务器本身有两个物理以太网端口,但只有一个连接到物理交换机。IP 与我的物理交换机端口绑定,因此,如果有意义的话,我这边任何冒充 IP X 的东西都会获得该 IP。
客户机运行的是不同版本的 Linux,主要是 Debian。由于这是我自己的服务器,因此资源不是问题。可以随时安装额外的 VM。
我知道客户操作系统的根管理员能够编辑网络文件,但即使他们可以,我也不希望他们成功。这意味着如果他们更改网络配置,它应该不起作用,因为他们只为虚拟网卡分配了一个 IP,而不是所有 IP。
编辑2 VyOS 设置后的当前配置(参见评论)
答案1
我通过在充当网关的虚拟机上安装 VyOS 解决了这个问题。该机器有一个连接到 Internet 交换机的接口(在 ESXi(vSwitch0)中),然后每个客户端机器都有一个接口(连接到它们自己单独的交换机)。然后我所做的是在每个客户端接口上设置一个专用网络(使用 10.0.0.0/8 范围)并运行 1-1 NAT,以便将公共 IP 转发到内部客户端。
完成 1-1 NAT 的所有步骤均已在以下官方文档中介绍:http://vyos.net/wiki/User_Guide#1-to-1_NAT
虽然这种设置并不完全是我一开始想要的(我希望客户端能够直接在他们的网卡上设置公共 IP),但它确实提供了我想要的功能,通过防止客户端抢夺除分配给他们的 IP 之外的其他 IP。