Jde. Ale není to zadarmo. Je to triviální IP redirect :-) Prakticky stačí v jailech mít bránu na IPv6 adresu bridge. Bridge interface zajistí forward na správnou bránu se svojí odchozí MAC :-)
Aha to bude tohle. Přesměrování adresy na jinou adresu. Výhoda je, že může mít každý jail třeba i svoji virtuální síť. Ten kdo virtuál spravuje může znefunkčnit konektivitu maximálně sobě samému, protože může být od všeho oddělen další virtuální sítí. Vlastní firewall sice mít může, ale to s kterou neveřejnou ip může komunikovat určuje i správce.
Address Redirection
Address redirection is useful if several IP addresses are available, yet they must be on one machine. With this, natd(
can assign each LAN client its own external IP address. natd( then rewrites outgoing packets from the LAN clients with the proper external IP address and redirects all traffic incoming on that particular IP address back to the specific LAN client. This is also known as static NAT. For example, the IP addresses 128.1.1.1, 128.1.1.2, and 128.1.1.3 belong to the natd gateway machine. 128.1.1.1 can be used as the natd gateway machine's external IP address, while 128.1.1.2 and 128.1.1.3 are forwarded back to LAN clients A and B.
Z mého pohledu to ale i věci komplikuje.
Totiž v mém případě mohu kontejnery libovolně stěhovat z jednoho fyzického stroje na druhý kvůli rozložení zátěže a např. odstávce a aktualizaci hardwarového stroje. Stačí když kontainer zastavím, vytvořím a přenesu snapshot a pak jej mohu spustit se stejnou ip adresou jinde. Tedy přesun trvá řádově jen jednotky až desítky vteřin.
Spolu se snapshotem se mi přenese i nastavení jako ip adresa. Firewall je přímo uvnitř kontaineru, tedy přesun nemá na funkčnost vliv. Přesun je tak velmi jednoduchý a blbuvzdorný. Pokud mám ale velkou část bezpečnosti na firewallu fyzického stroje, přesun není tak jednoduchý a musí se to dobře promýšlet. No normálně to asi není tak důležité, ale já potřebuji dostupnost 24/7, poroto jednoduchost a blbuvzdornost přesunu virtuálů je podstatná vlastnost.
U vás je zase podstatné, že poskytovatele konektivity vyžaduje jen komunikaci jen jednu MAC, takže nemáte na výběr.
Je to samozřejmě závislé na daném řešení konkrétního ISP. Takže zatímco u Hetznera cizí provoz (snad) není, tak u Akamaie nedávno býval docela čilý ruch (dnes už ne) a na ten interface bych nic nevystrčil, byť to asi nějak ošetřené měli. Ale nevím jak a jak velká je šance, že jim při změnách něco nedopadne. Takže tomu a priory nevěřím. A vytvářet ty jaily s IPv4 na čistě virtuálním bridgi není pro mne žádná komplikace.
Aby server housing zbytečně ohrožoval své zákazníky nevhodným nastavením, věřím že musí být hloupý a arogantní zároveň. A nebo též nějakým nedopatřením. Není ale v jeho zájmu se takto chovat, protože až většina vzniklých problémů bude stejně řešit on. Ať už jde o možné zneužití IP adres zákazníka, nebo DOS útoky libovolným směrem. Je tedy rozhodně v jeho zájmu pochybný trafik, co není nutný k funkci, odstřihnout co nejdříve. Na rozdíl např. od různé detekce to nic nestojí a přispívá ke zdraví a přehlednosti.
107 Odpovědí
56295 Zhlédnutí