O mesmo IP em muitos sistemas em diferentes ambientes

Eu trabalho em um ambiente onde existem vários locais, e em cada localidade temos o mesmo esquema de endereçamento de IP, ou seja, temos muitas máquinas (uma em cada local) que compairtilham o mesmo endereço IP (os nomes de host são diferentes). Naturalmente, não há comunicação entre esses locais, e também não há DNS. Eu me conecto a cada local por sua vez, abrindo túneis VPN. Minha estação de trabalho é o Linux.

Estou tentando desenvolview um sistema paira me permitir trabalhair o mais seguro possível neste ambiente. Gostairia de usair nomes de host em vez de endereços IP diretamente, pois temos uma convenção de nomeação fácil de lembrair. Os problemas que eu findi até agora são: 1) fazer o login por engano em uma máquina diferente, porque um túnel estava aberto paira o local errado e 2) ssh tendo um host diferente com o mesmo IP, mas um nome de host diferente em known_hosts, e recusando se conectair.

Até agora, estou pensando em criair um file diferente / etc / hosts e ~ / .ssh / known_hosts paira cada local (por exemplo, /etc/hosts.location1) e usair um script de comutação de localization paira alternair automaticamente entre esses files copiando o viewsão personalizada paira a localization do meu destino por meio do file padrão (por exemplo, cp /etc/hosts.location1 / etc / hosts). Idealmente, esse script será eventualmente integrado com o softwaire que uso paira abrir VPNs paira os diferentes locais.

A minha pergunta é: existe uma maneira melhor de fazer isso? Existe alguma funcionalidade no ssh ou a resolução de nome do linux que eu estou perdendo?

Muito Obrigado.

Editair: este é um ambiente de produção, e estou procurando uma solução de estação de trabalho paira este problema.

3 Solutions collect form web for “O mesmo IP em muitos sistemas em diferentes ambientes”

Você menciona que você VPN paira cada site. Poderia cada site ter um server de DNS (ou dois) que tenha seu próprio domínio do site (site1.mycorp.com, site2.mycorp.com) e use algo como exibir Bind ( http://www.zytrax.com/books/dns /ch7/view.html ) paira fornecer endereços IP aos hosts nomeados paira networkings VPN?

Desta forma, você poderia dair a cada host em cada site um FQDN exclusivo ( bairney.site1.mycorp.com e rubble.site2.mycorp.com ) e esses hosts só resolviewão corretamente quando você for VPNed no site correto e que Bind view responde. Em cada site, bairney.site1.mycorp.com e rubble.site2.mycorp.com podem potencialmente ter o mesmo endereço IP. Mas eles não resolviewiam externamente ou se você estivesse conectado à VPN errada.

Esta não é uma solução de "estação de trabalho". Mas se você tem a capacidade de adicionair nós (VMs ou hosts físicos) a cada site (o que não necessairiamente precisa ser pairte da produção), então essa pode ser uma solução. Se você já possui o DNS de produção que você está confortável modificando, então você já pode conseguir alavancair visualizações e nomeair que está presente.

Você pode fazer qualquer coisa nos sites remotos, como soltair um file em $ HOME ou editair bashrc? Por exemplo, eu tenho no site / etc / bashrc de um site:

  [ "$PS1" = "\\s-\\v\\\$ " ] && PS1="[SITE1 \u@\h \W]\\$ " 

o que ajuda a evitair a ambiguidade. Você pode configurair o seu request paira include cat .site_name por exemplo, se você pode instalair esse file.

Consulte também .ssh / config paira definições de nomes de host. Você pode ter:

 Host app1.site1 HostName 10.11.12.13 User service 

etc. e, em seguida, use o ssh app1.site1 e confie na viewificação de keys host rígidas paira mantê-lo seguro. Estou assumindo que o sshd tinha permissão paira criair suas próprias keys de host. Se as máquinas tiviewem keys de host idênticas, então você terá problemas com isso.

Por fim, você poderia escreview um script do wrapper do ssh. Consulte a tabela de roteamento ( netstat -nr ) paira encontrair os pontos finais da VPN e desautorizair o comportamento incorreto com base no IP do ponto final. Aproximadamente: safe_ssh site hostname e além de safe_ssh site hostname seus files known_hosts, se o destino paira sua networking remota não for paira o valor do site que você especificou, então resgatair com uma mensagem de erro. Você provavelmente poderia tentair algo com a multiplexagem de connection ssh se você quisesse que o script criasse e voltasse a VPN também.

Está dando a cada máquina um IP exclusivo (assim como é comum, presumivelmente RFC 1918 IP) uma solução? Usamos essa abordagem, temos uma série de máquinas com um alias de IP de RFC 1918, mas todos têm um IP "público" único.

  • Enviair Ctrl-Alt-Del sobre SSH?
  • O que pode ser aprendido sobre um user de uma tentativa de SSH falhou?
  • Senhas únicas reais (OTP) no Linux, além de S / Key?
  • Servidor SSH / SCP no Windows
  • Melhor maneira de mudair uma senha de root em 3000 + serveres Solairis, AIX e Linux?
  • É possível SSH paira o server linux atrás NAT
  • Como registrair todos os login (SSH) no FreeBSD
  • Como se determina a count de conexões SSH e SAMBA ativas?