CentOS6.6の新規インストールでOpenVZコンテナーをホストするマスターサーバーとしてSolusVMをインストールしました
私が今気付いているのは、コンテナのIPアドレスの1つをtracerouteすると、ホストノードのIPアドレスがコンテナのIPの直前のホップとして表示されることです。
例:
6 39 45 49 1.2.3.4 -
7 38 39 39 1.1.1.1 hostnode.com <===== HostNode
8 38 38 38 2.2.2.2 container.com <===== OpenVZ Container
私が知りたいのは、ホストノードがtracerouteに表示されないようにする方法はありますか?
「/etc/sysctl.conf」で「net.ipv4.conf.icmp_echo_ignore_all = 1」を設定できることは知っていますが、これはping応答のみを停止し、tracerouteは停止しないことを理解しています。
私は主に、攻撃者が私のホストを見てDDOSできることを懸念していますNode IPにより、すべてのコンテナがオフラインになります。私のISPは、攻撃されたIPを、単一のIPを使用している間にnullルーティングします。コンテナのIPnullルーティングは大したことではありません。ホストノードが攻撃されて、すべてのコンテナでダウンタイムが発生しないようにする必要があります。
私の望ましい結果は、ホストノードがtracerouteにまったく表示されないか、完全にタイムアウトすることです。正しい方向のポイントが必要です。
VMからパブリックインターネットへのトラフィックは、ホストノードのインターフェイスを介してルーティングする必要があるため、tracerouteの結果でホップとして親ノードを完全に削除する方法はありません。
ただし、親ノードでiptables
を使用して、アウトバウンドICMPパケットをブロックできます。これにより、traceroute
の結果で親ノードのIPアドレスが非表示になり、traceroute
の結果でリクエストがタイムアウトとしてのみ表示されます。
OpenVZノードで次のコマンドをroot
として実行します。
iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 30 -j DROP