星辰网 星辰网

OpenVZ母机IP禁止显示在路由追踪

in VPS,VPS使用,个人交流 read (1183)

介绍:

如果你在一些不是桥接模式的路由上,你会发现开设出来的VPS,路由会从Openvz主机节点跳过。也就是可以从路由追踪里查询到母机的IP。这样造成的效果就是可以让攻击者攻击一个母机IP就能让整个VPS节点瘫痪,这样的问题我也在寻求类似的解决方法,

例:
6 39 45 49 1.2.3.4 -
7 38 39 39 1.1.1.1 hostnode.com <===== HostNode
8 38 38 38 2.2.2.2 container.com <===== OpenVZ Container

解决方法:

你没办法让路由不经过母机,但是你可以让ICMP包从母机里丢掉,这样就可以阻挡路由追踪显示的那一跳节点。

在母机里执行:

iptables -A OUTPUT -p icmp  --icmp-type 0 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 11 -j DROP
iptables -A OUTPUT -p icmp  --icmp-type 30 -j DROP

造成的后果是母机无法向外ICMP以及接受外部ICMP,也就是PING不出去也PING不进来,但是VPS却不受影响

文章二维码

扫描二维码,在手机上阅读!

Tags: VPSVPS使用个人交流
最后由phxc8修改于2017-08-31 12:03

撰写评论