Узнают IP хоста через IP openvz контейнера

0

1

Здравствуйте. У выделенного сервера IP: a.a.a.a, а так же есть купленные дополнительные IP: x.x.x.x.

После создания контейнера я даю ему IP:

vzctl set $ID --ipadd x.x.x.x --save

Если выполнить команду traceroute x.x.x.x То покажет IP контейнера и хоста:

12 static.* (a.a.a.a) 52.911 ms 52.377 ms 55.455 ms <-- IP хоста
13 static.* (x.x.x.x) 56.360 ms 53.051 ms 51.967 ms <-- IP контейнера

Каким образом я могу скрыть IP хоста, чтобы его нельзя было узнать? Потому что я не хочу, чтобы его пытались ддосить или взломать.

Ссылка

←	ssh connect

непонятки с cron

→

Как от хоста будут ходить пакеты, если хост не будет знать своего шлюза по умолчанию?

generator ★★★
(19.12.14 15:14:05 MSK)

DMZ, всё такое.. Пусть шлюз пытаются взломать, вместо хоста с контейнерами. :)
Что-то тебе в любом случае придется выставить в интернеты, и это будут ломать и ддосить. Селяви.

aol ★★★★★
(19.12.14 15:19:45 MSK)

Ссылка

Ответ на: комментарий от generator 19.12.14 15:14:05 MSK

Как от хоста будут ходить пакеты, если хост не будет знать своего шлюза по умолчанию ?

Ну будут DDoS-ить контейнер. Делов-то... Так-то можно закрыть, но оно точно надо ?

Ещё, наверное, можно подумать про сбор интерфейсов контейнеров в бридж и вынос с хоста отдельным VLAN-ом (или через вторую сетевую карту) на роутер. Но это так, направление мысли, на деле надо смотреть, возможно ли.

AS ★★★★★
(19.12.14 15:33:29 MSK)
Последнее исправление: AS 19.12.14 15:34:17 MSK (всего исправлений: 1)

Ссылка

″traceroute -n″ или ″ping -R″ основывается на icmp. Конечно, можно запретить на хосте в OUTPUT icmp-пакеты, но ведь можно и что-то сломать, icmp придумали не просто так.

А от того, что вы «спрячите» ″a.a.a.a″ особо ничего не изменится, фактически вы просто уберёте информацию, что ″x.x.x.x″ подключен через ″a.a.a.a″. Но этот самый ″a.a.a.a″ могут взломать просто за то, что он есть.

mky ★★★★★
(19.12.14 16:02:30 MSK)