Я установил SolusVM как Главный сервер, который разместит контейнеры OpenVZ на новой установке CentOS 6.6
То, что я теперь замечаю, является этим, если я traceroute один из моих IP-адресов контейнеров я рассматриваю IP-адрес узла хоста как транзитный участок прямо перед IP контейнеров.
Пример:
6 39 45 49 1.2.3.4 -
7 38 39 39 1.1.1.1 hostnode.com <===== HostNode
8 38 38 38 2.2.2.2 container.com <===== OpenVZ Container
То, что я хочу знать, является там каким-либо способом, которым я могу мешать узлу хоста появиться в traceroutes?
Я знаю, что могу установить "сеть ipv4.conf.icmp_echo_ignore_all = 1" в "/etc/sysctl.conf", но это - мое понимание, что это только остановит ответы ping и не traceroutes.
Я, прежде всего, обеспокоен способностью взломщика видеть и DDOS мой IP Узла Хоста, который заставил бы все контейнеры идти офлайн. Мой ISP будет nullroute любой дюйм/с, на которого нападают и в то время как наличие единственного направленного пустого указателя IP контейнеров не является огромным соглашением, я должен удостовериться, что мой узел хоста не становится подвергшимся нападению для порождения времени простоя на всех контейнерах.
Моим желаемым результатом был бы или мой узел хоста, не появляющийся в traceroute вообще или просто тайм-аут полностью, мне просто нужна точка в правильном направлении.
Трафик от ваших ВМ к публичному интернету должен быть маршрутизирован через интерфейс узла-хоста, чтобы не было возможности полностью удалить родительский узел в качестве прыжка в результатах трассировки.
Однако, вы можете использовать iptables
на родительском узле, чтобы блокировать исходящие ICMP пакеты. Это позволит скрыть IP-адрес вашего родительского узла в результатах traceroute
-- появляющихся только как запрос с таймаутом в результатах traceroute
трассировки.
Выполните эти команды как root
на вашем OpenVZ узле:
iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 30 -j DROP