web-dev-qa-db-ja.com

OpenVZホストNode tracerouteに表示されます

CentOS6.6の新規インストールでOpenVZコンテナーをホストするマスターサーバーとしてSolusVMをインストールしました

私が今気付いているのは、コンテナのIPアドレスの1つをtracerouteすると、ホストノードのIPアドレスがコンテナのIPの直前のホップとして表示されることです。

例:

6     39      45      49         1.2.3.4      -  
7     38      39      39         1.1.1.1     hostnode.com  <===== HostNode
8     38      38      38         2.2.2.2     container.com  <===== OpenVZ Container

私が知りたいのは、ホストノードがtracerouteに表示されないようにする方法はありますか?

「/etc/sysctl.conf」で「net.ipv4.conf.icmp_echo_ignore_all = 1」を設定できることは知っていますが、これはping応答のみを停止し、tracerouteは停止しないことを理解しています。

私は主に、攻撃者が私のホストを見てDDOSできることを懸念していますNode IPにより、すべてのコンテナがオフラインになります。私のISPは、攻撃されたIPを、単一のIPを使用している間にnullルーティングします。コンテナのIPnullルーティングは大したことではありません。ホストノードが攻撃されて、すべてのコンテナでダウンタイムが発生しないようにする必要があります。

私の望ましい結果は、ホストノードがtracerouteにまったく表示されないか、完全にタイムアウトすることです。正しい方向のポイントが必要です。

1
Analog

VMからパブリックインターネットへのトラフィックは、ホストノードのインターフェイスを介してルーティングする必要があるため、tracerouteの結果でホップとして親ノードを完全に削除する方法はありません。

ただし、親ノードでiptablesを使用して、アウトバウンドICMPパケットをブロックできます。これにより、tracerouteの結果で親ノードのIPアドレスが非表示になり、tracerouteの結果でリクエストがタイムアウトとしてのみ表示されます。

OpenVZノードで次のコマンドをrootとして実行します。

iptables -A OUTPUT -p icmp  --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 30 -j DROP
1
Elliot B.