我已将 SolusVM 安装为主服务器,它将在全新安装的 CentOS 6.6 上托管 OpenVZ 容器
我现在注意到的是,如果我跟踪我的容器 IP 地址之一,我会将主机节点的 IP 地址视为容器 IP 之前的跃点。
例子:
6 39 45 49 1.2.3.4 -
7 38 39 39 1.1.1.1 hostnode.com <===== HostNode
8 38 38 38 2.2.2.2 container.com <===== OpenVZ Container
我想知道有什么方法可以阻止主机节点出现在 traceroutes 中?
我知道我可以在“/etc/sysctl.conf”中设置“net.ipv4.conf.icmp_echo_ignore_all = 1”,但据我了解,这只会停止 ping 响应而不是跟踪路由。
我主要担心攻击者能够看到并 DDOS 我的主机节点 IP,这会导致所有容器脱机。我的 ISP 将对任何受到攻击的 IP 进行空路由,并且虽然拥有单个容器 IP 空路由并不是什么大问题,但我需要确保我的主机节点不会受到攻击而导致所有容器停机。
我想要的结果要么是我的主机节点根本没有出现在跟踪路由中,要么只是完全超时,我只需要一个正确方向的点。
从您的 VM 到公共 Internet 的流量必须通过主机节点的接口进行路由,因此无法完全删除父节点作为 traceroute 结果中的跃点。
但是,您可以
iptables在父节点上使用来阻止出站 ICMP 数据包。这将在结果中隐藏您的父节点的 IP 地址——仅在结果traceroute中显示为请求超时traceroute。root像在 OpenVZ 节点上一样运行这些命令: