OpenVZ 主机节点出现在跟踪路由中

tag-icon tag-icon iptables openvz solusvm
OpenVZ 主机节点出现在跟踪路由中

我已经安装了 SolusVM 作为主服务器,它将在全新安装的 CentOS 6.6 上托管 OpenVZ 容器

我现在注意到的是,如果我跟踪路由我的一个容器的 IP 地址,我会看到主机节点的 IP 地址作为容器 IP 之前的跳转。

例子:

6     39      45      49         1.2.3.4      -  
7     38      39      39         1.1.1.1     hostnode.com  <===== HostNode
8     38      38      38         2.2.2.2     container.com  <===== OpenVZ Container

我想知道有什么方法可以阻止主机节点出现在跟踪路由中?

我知道我可以在“/etc/sysctl.conf”中设置“net.ipv4.conf.icmp_echo_ignore_all = 1”,但据我了解,这只会停止 ping 响应而不是跟踪路由。

我主要担心攻击者能够看到并对我的主机节点 IP 进行 DDOS 攻击,这会导致所有容器离线。我的 ISP 将对任何受到攻击的 IP 进行空路由,虽然对单个容器 IP 进行空路由并不是什么大问题,但我需要确保我的主机节点不会受到攻击而导致所有容器停机。

我期望的结果是我的主机节点根本不出现在跟踪路由中,或者完全超时,我只需要一个正确方向的点。

答案1

从您的虚拟机到公共互联网的流量必须通过主机节点的接口进行路由,因此无法完全删除跟踪路由结果中的父节点作为跳跃。

但是,您可以iptables在父节点上使用来阻止出站 ICMP 数据包。这将在结果中隐藏父节点的 IP 地址traceroute——仅显示为请求超时traceroute结果中。

root在您的 OpenVZ 节点上运行以下命令:

iptables -A OUTPUT -p icmp  --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 30 -j DROP

相关内容