Я установил SolusVM в качестве главного сервера, на котором будут размещаться контейнеры OpenVZ при новой установке CentOS 6.6.
Что я теперь замечаю, так это то, что если я трассирую один из IP-адресов своих контейнеров, я вижу IP-адрес хост-узла как переход прямо перед IP-адресом контейнера.
Пример:
6 39 45 49 1.2.3.4 -
7 38 39 39 1.1.1.1 hostnode.com <===== HostNode
8 38 38 38 2.2.2.2 container.com <===== OpenVZ Container
Что я хочу знать, могу ли я как-нибудь предотвратить появление хост-узла в traceroutes?
Я знаю, что могу установить "net.ipv4.conf.icmp_echo_ignore_all = 1" в "/etc/sysctl.conf", но я понимаю, что это остановит только ответы ping, а не traceroutes.
Меня в первую очередь беспокоит то, что злоумышленник сможет увидеть и DDOS мой IP-адрес хост-узла, что приведет к отключению всех контейнеров. Мой интернет-провайдер обнулит любые IP-адреса, которые будут атакованы, и при наличии одного контейнера IP-маршрутизация с нулевой маршрутизацией не является большой проблемой, мне нужно убедиться, что мой хост-узел не будет атакован, чтобы вызвать простои всех контейнеров.
Моим желаемым результатом будет либо то, что мой хост-узел вообще не отображается в трассировке маршрута, либо просто таймаут полностью, мне просто нужна точка в правильном направлении.
Трафик с ваших виртуальных машин в общедоступный Интернет должен маршрутизироваться через интерфейс хост-узла, поэтому нет возможности полностью удалить родительский узел в качестве перехода в результатах трассировки.
Однако вы можете использовать iptables
на родительском узле, чтобы заблокировать исходящие пакеты ICMP. Это скроет IP-адрес вашего родительского узла в traceroute
результаты - отображаются только как истекло время запроса в traceroute
полученные результаты.
Запустите эти команды как root
на вашем узле OpenVZ:
iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 30 -j DROP