Binden von SOCKS-Proxy an Keepalive Virtual IP

451
Joe Sinfield

Ich erstelle einen SOCKS-Proxy, der die dynamische Portweiterleitung von OpenSSH auf einem ssh-Server in einem Keepalive-Cluster mit 3 Maschinen verwendet.

  • Die virtuelle IP dieses Clusters lautet 1.1.1.4
  • Der Hauptknoten des Clusters ist 1.1.1.3
  • Die beiden anderen Maschinen sind am 1.1.1.1. & 1.1.1.2 und kann für diese Frage wahrscheinlich ignoriert werden

Ich erstelle meinen SOCKS-Proxy mit dem folgenden Befehl von meinem SSH-Client

ssh -D1080 1.1.1.4

Ich sende meine Anfrage localhost:1080vom ssh-client-Rechner durch und die Anfrage wird erfolgreich über den Proxy weitergeleitet.

Ich habe eine Firewall mit einer Regel, um den Verkehr von 1.1.1.4 durchzulassen. Das Problem ist, dass, da die ssh-Verbindung zu 1.1.1.4 zum Masterknoten bei 1.1.1.3 aufgelöst wird, die weitergeleitete Anforderung aus 1.1.1.3 und nicht aus 1.1.1.4 stammt.

Das Ergebnis ist, dass ich für jede der drei IP-Adressen in diesem Cluster eine Firewall-Regel einrichten muss. Ich würde es vorziehen, nur eine Regel für alle 3 der gemeinsam genutzten virtuellen IP-Adresse zu haben. Damit dies jedoch möglich ist, muss die weitergeleitete Anforderung als von der virtuellen IP-Quelle aus betrachtet betrachtet werden.

Ist mein Ziel schlecht verstanden? Gibt es einen Grund dafür, dass dies unerwünscht ist, oder gibt es eine Möglichkeit, das zu erreichen, was ich möchte, ohne ein Durcheinander zu verursachen?

Vielen Dank

Joe

0
Dieser Artikel scheint relevant zu sein: https://serverfault.com/questions/585264/bind-outgoing-socks-server-traffic-to-a-specific-ip Joe Sinfield vor 6 Jahren 0
Da es für ssh nicht möglich ist, an eine bestimmte ausgehende IP-Adresse auf dem Server zu binden (wie die obige Antwort bestätigt), glaube ich nicht, dass eine Keepalive-Adresse vom Knoten als Netzwerkschnittstelle betrachtet wird und dies auch tun könnte nicht einmal mit iptables auffindbar sein. Wenn jemand etwas darüber klären kann, ob Keepalive-Adressen mithilfe von iptables zugeordnet werden können, * oder *, warum die Firewall normalen https-Datenverkehr als von der virtuellen Keepalive-IP-Adresse aus zu sehen scheint, wäre ich dankbar. Joe Sinfield vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme