Инфраструктура для защиты от DDoS

[Twinker]

да ладно вам. Twinker предлагал вон через haproxy пропускать, но при этом не забываем. что да...haproxy передаст запросы на сервер что за ним, но ответит уже юзеру сервер уже своим реальным ip адресом. Это то то касается ПТС.

Добавлено через 40 секунд
Gamlet, а вы продаете свою систему собраную уже или с сорцами??

1) Нет, ответит IP ноды. Иначе - IP пакет считался бы навалидным, т.к пакета, открывающего соединение от IP клиента до IP VDS не последовало.

Схема такая. Клиент -> DNS -> Нода с HAProxy (Проксирование с помощью RoundRobin) -> [VDS -> GS] и обратно.
То, что в квадратных скобках - скрыто и узнать IP данных частей цепочки невозможно, т. к Source IP подменяется, отправляется на VDS, затем опять подменяется, отправляется на GS, затем возвращается на VDS, VDS передает на ноду (HAProxy) и она возвращает пакет клиенту.

Все IP, которые возможно будет узнать - это лишь IP адреса нод. А это ничем не поможет атакующему

2) С сорсами, это описано у него в теме.

[Gamlet]

да ладно вам. Twinker предлагал вон через haproxy пропускать, но при этом не забываем. что да...haproxy передаст запросы на сервер что за ним, но ответит уже юзеру сервер уже своим реальным ip адресом. Это то то касается ПТС.

Добавлено через 40 секунд
Gamlet, а вы продаете свою систему собраную уже или с сорцами??

С исходниками.
Темку можете найти через мой профиль.

[valsha]

клиент - DNS (это я так понимаю там прописано что то типа auth.server.com) - Нода с HAProxy (на ноде я так понимаю прописано редиректить auth.server.com:2106/7777 на VDS ) - [VDS -> GS]
Но GS ответит скорее всего реальным IP адресом VDSа, его и будут досить.
И на VDSe еще один HAProxy ???

[Twinker]

клиент - DNS (это я так понимаю там прописано что то типа auth.server.com) - Нода с HAProxy (на ноде я так понимаю прописано редиректить auth.server.com:2106/7777 на VDS ) - [VDS -> GS]
Но GS ответит скорее всего реальным IP адресом VDSа, его и будут досить.
И на VDSe еще один HAProxy ???

Вы видимо не поняли.

Ответит GS не клиенту напрямую, т.к это невозможно, а VDS. VDS перенаправит пакет на Ноду. А нода ответит клиенту. Так понятнее?

Клиент -> Yandex DNS -> 3 разных ноды в A записях (при ддосе по домену вся нагрузка разделится на 3 сервера) -> [VDS -> GS] и обратно.

Yandex DNS только при подключении. При возврате пакета он не учавствует.

[valsha]

Понятно было и сразу. Что схема:
нода с HAProxy - VDS - игровой сервер.

палится ip VDS которая как бы защищена от ддоса.
редиректить с VDS на игровой серер тоже будите HAProxy??

[Twinker]

Понятно было и сразу. Что схема:
нода с HAProxy - VDS - игровой сервер.

палится ip VDS которая как бы защищена от ддоса.
редиректить с VDS на игровой серер тоже будите HAProxy??

Не палится ничего. Каким образом?! Вы видите только IP ноды. В A записях DNS серверов указаны IP нод (их несколько), между которыми распределяется нагрузка. С VDS на сервер - не HAProxy, но почти то же самое.

[xolseg]

Понятно было и сразу. Что схема:
нода с HAProxy - VDS - игровой сервер.

палится ip VDS которая как бы защищена от ддоса.
редиректить с VDS на игровой серер тоже будите HAProxy??

Объяснить нужно по другому, ip-address который вы увидете это будет HAProxy я думаю так будет более понятнее. Что бы не нагружать людей лишними цепочками и прочим.
Других ip адресов вы видеть не будет, всё остальное я так понимаю будет работать внутри структуры и ни каким образом касаться ни кого не будет.
Цепочка же описанная выше работает в обе стороны.

[xolseg]

Нужна ли вообще то кому то такая защита? Я имею ввиду такого рода прокси, но не внутри ОВХ, а разделенная на 3-5 фильтров в разных странах мира О_о

[Twinker]

Нужна ли вообще то кому то такая защита? Я имею ввиду такого рода прокси, но не внутри ОВХ, а разделенная на 3-5 фильтров в разных странах мира О_о

Хотелось бы задать тот же вопрос.

[RealBlack]

Даешь тест?