Score:0

Server

วิธีที่ดีที่สุดในการกำหนดเส้นทางการรับส่งข้อมูลตามผู้ใช้ที่เข้าสู่ระบบผ่านเส้นทางซ้ำซ้อนเฉพาะ

MoWo

7/5/23 17:13

ฉันมีเครื่อง Ubuntu 20.04 พร้อมอินเทอร์เฟซอีเธอร์เน็ต 2 อันพร้อมที่อยู่ IP 2 อัน เป็นอินสแตนซ์ AWS EC2 และที่อยู่ IP 4 รายการแต่ละรายการมี EIP เชื่อมต่อผ่าน NATอินเทอร์เฟซทั้งสองเชื่อมต่อกับซับเน็ตภายในเดียวกัน การตั้งค่ามีลักษณะดังนี้:

เครื่อง EC2:

- eni1:

ส่วนตัว IP1 -> สาธารณะ IP1
ส่วนตัว IP2 -> สาธารณะ IP2

- eni2:

ส่วนตัว IP3 -> สาธารณะ IP3
ส่วนตัว IP4 -> สาธารณะ IP4

ที่อยู่ทั้ง 4 แห่งสามารถเข้าถึงได้จากภายนอก ดังนั้นดูเหมือนว่าทุกอย่างจะปกติดี อย่างไรก็ตาม สำหรับทราฟฟิกขาออกในปัจจุบัน จะใช้ private-IP1 (และ public-IP1) เสมอ ฉันต้องการระบุว่าผู้ใช้ SSH แต่ละคนใช้ที่อยู่ IP เฉพาะ ดังนั้นพวกเขาจะมาจาก IP สาธารณะที่สอดคล้องกันเมื่อพูดคุยกับบริการบนอินเทอร์เน็ต เช่น

user1 -> ส่วนตัว-IP1

user2 -> ส่วนตัว-IP2

user3 -> ส่วนตัว-IP3

user4 -> ส่วนตัว-IP4

วิธีที่ดีที่สุดในการบรรลุผลลัพธ์นี้คืออะไร

0 + 0

ลินุกซ์เครือข่าย

อูบุนตู-20.04

Zac67

7/5/23 22:11

มีโอกาสใดบ้างที่คุณจะรัน 802.1X ได้? คุณสามารถกำหนดที่อยู่ IP ตามการรับรองความถูกต้องของ RADIUS

ตอบกลับ

MoWo

8/5/23 08:59

อืม ฉันเดาว่ามันน่าจะเป็นทางเลือก ไม่เคยทำงานกับการรับรองความถูกต้องของ RADIUS มาก่อน คุณทราบแหล่งข้อมูลใดบ้างที่ฉันสามารถตรวจสอบได้เพื่อเริ่มต้นใช้งานนี้

ตอบกลับ

Zac67

8/5/23 10:39

ไม่ ขออภัย - คำขอทรัพยากรอยู่นอกหัวข้อที่นี่อยู่ดี คุณควรสำรวจตัวเลือกที่คุณมี EC2 ในขณะที่สามารถเพิ่มเซิร์ฟเวอร์ RADIUS ได้อย่างง่ายดาย แต่ 802.1X จำเป็นต้องจัดเตรียมโดยคลาวด์

ตอบกลับ

Score:1

Server

Tilman Schmidt

7/5/23 19:46

วิธีที่ดีที่สุดในการบรรลุผลดังกล่าวคือการโคลนอินสแตนซ์ EC2 เป็นสี่อินสแตนซ์ กำหนดที่อยู่ IP หนึ่งที่อยู่ให้กับแต่ละโคลน และให้ผู้ใช้แต่ละคนใช้เฉพาะเครื่องที่มีที่อยู่ IP ที่เขาหรือเธอควรใช้

0 + 0

MoWo

7/5/23 20:01

วิธีการที่น่าสนใจ แต่ไม่ใช่สิ่งที่ฉันกำลังมองหา ฉันกำลังวางแผนที่จะขยายขนาด IP ให้มากขึ้นในระยะยาว และการปรับใช้อินสแตนซ์จำนวนมากเพียงเพื่อจุดประสงค์นี้ดูเหมือนจะเป็นการสิ้นเปลืองและจะสร้างค่าใช้จ่ายในการบำรุงรักษาจำนวนมาก

ตอบกลับ

Tilman Schmidt

7/5/23 23:06

ขออภัย วิธีแก้ไขปัญหาอื่นๆ ทั้งหมดที่ฉันนึกออกจะทำให้มีค่าใช้จ่ายในการบำรุงรักษามากขึ้น

ตอบกลับ

MoWo

8/5/23 06:41

แต่ต้องมีวิธีบอกเคอร์เนลลินุกซ์ให้ใช้เส้นทางต่างๆ ที่มีให้ ใช้งานได้กับการรับส่งข้อมูลที่ผ่านช่อง ทำไมจึงใช้งานไม่ได้กับการรับส่งข้อมูลที่มาจากช่อง

ตอบกลับ

Tilman Schmidt

8/5/23 14:09

แน่นอนมี ความยากคือการตัดสินใจกำหนดเส้นทางนั้นขึ้นอยู่กับ ID ผู้ใช้ การรับส่งข้อมูลนั้นไม่มีข้อมูลเกี่ยวกับผู้ใช้ที่เริ่มต้น พูดง่ายๆ ก็คือ คุณจะต้องสร้าง *และบำรุงรักษา* กลไกเพื่อแมป UID กับที่อยู่ IP ต้นทาง *และ* เพื่อบอกให้กลุ่มเครือข่ายใช้กลไกนี้แทนกลไกที่ไม่เชื่อเรื่องพระเจ้าตามปกติ อีกครั้ง การสร้างอินสแตนซ์แยกต่างหากสำหรับผู้ใช้แต่ละคนเป็นวิธีที่ง่ายที่สุดในการบรรลุเป้าหมายดังกล่าว

ตอบกลับ

MoWo

8/5/23 14:21

อืม. ฉันลองใช้ -m Owner ใน iptables เพื่อจับคู่ทราฟฟิกกับผู้ใช้ ทำเครื่องหมายแพ็กเก็ตแล้วใช้กฎ ip เพื่อแมปกับตารางเส้นทางเฉพาะน่าเสียดายที่มันใช้งานไม่ได้ ดังนั้นฉันจึงมองหาทางเลือกอื่น... ฉันยังคงคิดว่ามันต้องเป็นไปได้หรือต้องมีวิธีแก้ปัญหา ฉันแค่คิดไม่ออก...

ตอบกลับ

MoWo

8/5/23 21:39

ในที่สุดฉันก็แก้ไขได้ด้วยวิธีแก้ปัญหา ขอบคุณสำหรับความคิด!

ตอบกลับ

Score:1

Server

MoWo

8/5/23 21:46

ในที่สุดฉันก็แก้ปัญหานี้ได้ด้วยตัวเองหลังจากใช้เวลาหลายชั่วโมงในเรื่องนี้ ในที่สุดฉันก็ใช้งานได้โดยเพิ่มกฎ ip ดังนี้:

กฎ sudo ip เพิ่ม uidrange 1,000-1,001 ค้นหา if1
กฎ sudo ip เพิ่ม uidrange 1002-1004 ค้นหา if2

จากนั้นเพิ่มกฎการโพสต์การกำหนดเส้นทางของ iptables ดังนี้:

$ sudo iptables -S -t แนท
-P PREROUTING ยอมรับ
-P อินพุตยอมรับ
-P เอาต์พุตยอมรับ
-P หลังยอมรับ
-A POSTROUTING -o interface1 -m เจ้าของ --uid-เจ้าของ 1,000 -j SNAT --to-source IP1
-A POSTROUTING -o interface1 -m เจ้าของ --uid-เจ้าของ 1001 -j SNAT --to-source IP2
-A POSTROUTING -o interface2 -m เจ้าของ --uid-เจ้าของ 1002 -j SNAT --to-source IP3
-A POSTROUTING -o interface2 -m เจ้าของ --uid-เจ้าของ 1003 -j SNAT --to-source IP3

โดยที่ if1 และ if2 เป็นตารางเส้นทางที่กำหนดเองของฉันซึ่งมีเส้นทางเริ่มต้นที่สอดคล้องกัน ทำได้ดี! บางทีนี่อาจเป็นประโยชน์สำหรับใครบางคนในอนาคต :)

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Best way to route traffic based on logged in user via specific redundant route?

TH: วิธีที่ดีที่สุดในการกำหนดเส้นทางการรับส่งข้อมูลตามผู้ใช้ที่เข้าสู่ระบบผ่านเส้นทางซ้ำซ้อนเฉพาะ

RO: Cel mai bun mod de a direcționa traficul pe baza utilizatorului conectat printr-o anumită rută redundantă?

RU: Лучший способ маршрутизировать трафик на основе вошедшего в систему пользователя по определенному избыточному маршруту?

VI: Cách tốt nhất để định tuyến lưu lượng dựa trên người dùng đã đăng nhập thông qua tuyến dự phòng cụ thể?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา