TCP Weiterleitung / Tunnel als DDoS Schutz

[Ayano]

Moin zusammen,

ich bin bestrebt einen TCP Tunnel (beliebige Ports) von einen kleinen OVH-vServer aus zu erstellen.

Auf diesem sollen die Verbindungsanfragen eingehen und an Server B weitergereicht werden.

Der Hintergrund der ganzen Sache ist eigentlich recht einfach: DDoS Schutz ist entweder z.b bei Link11, First-Colo usw. recht teuer. OVH hat DDoS Schutz all inkl. ohne Aufpreis, unlimited Traffic.

Da man dort derzeit überhaupt keinen "Dedicated Server" bekommt, würde sich ein TCP Tunnel-Server ziemlich gut eignen. Da die Anfragen ab den TCP-Tunneling Server zum "echten" Server lediglich weitergereicht werden sollen, um den echten "Host" vor DDoS Attacken zu schützen.
Da der Hoster kein DDoS Schutz anbietet, muss man sich somit nunmal Alternativen überlegen.

Welche Dienste würdet ihr dort so empfehlen, es gibt ja offenbar so einige von solchen TCP-Tunnel-Servern.

Vielleicht sowas in der Richtung?
http://www.cyberciti.biz/faq/linux-unix-tcp-port-forwarding/

Es handelt sich natürlich um ein Linux vServer. und Portweiterleitung ist ja im Prinzip nichts wie ein "Router" der Verbindunen weiterreicht. Ressourcenfressend dürfte das damit meines Wissens nach auch nicht sein.

Beste Grüße,
Ayano

 

[Thunderbyte]

Das ist doch ein Gefrickel sondergleichen, Du machst Deine Verfügbarkeit von der Stabilität eines VPN Tunnels abhängig, beschränkst die Bandbreite, verdoppelst im schlechtesten Fall die Latenz und was nicht noch alles. Das ist doch eine Schnapsidee sondergleichen.

Wenn Du vonOVH einen DDoS geschützten Server haben willst (die Preise sind ja durchaus sehr OK), dann wart halt noch ein bißchen:

http://forum.ovh.de/showthread.php?t=13358

Offensichtlich wird sich auf http://soyoustart.com/ (von OVH, was auch immer das sein wird) in nun gut 6 Tagen auch was tun. Und die neuen Angebote sind auch schon nahezu fertig, siehe hierzu http://forum.ovh.de/forumdisplay.php?f=19 .

 

[tomasini]

nginx als Load Balancer auf dem OVH-vServer wäre hier die bessere Lösung: http://wiki.nginx.org/LoadBalanceExample

 

[Ayano]

Ja, ich wusste das OVH die Angebote alle neu strukturiert und im Moment ja nur VPS Server anbietet... Darum gings mir ja auch hauptsächlich dafür erstmal ne Lösung parat zu haben.
Ping und Laufzeiten sind mir bewusst, dennoch ist von "Server zu Server" der ping meist erheblich niedriger als von DSL Anschlüssen.
Die Mindestbandbreite zwischen Proxy, nenne ich ihn mal und echter Server wären 100 MBit/s garantiert, die gehen mit normalen Test-Speeds zwischen den Servern auch mit 11 MB/s über die Runden.


Trotzdem suche ich zunächst nach ner Lösung. socat scheint halbwegs etwas zu funktionieren, habs mitn Webserver getestet. Jedoch muss dabei die SSH Konsole ständig auf bleiben.. Es soll aber permanent auch ohne offener SSH Konsole beliebige Ports weiterleiten.. Denn mach ich die zu ist schicht im Schacht.


@tomasini: ich schaue mir das morgen mal an, muss wieder früh raus arbeiten.

Grüße,
Ayano

 

[d4f]

Jedoch muss dabei die SSH Konsole ständig auf bleiben.. Es soll aber permanent auch ohne offener SSH Konsole beliebige Ports weiterleiten..

Du musst dich dringend in Grundmaterie von Linux-Systemen einarbeiten!
Nohup und screen sind Stichwörter welche dir genau dies ermöglichen.

socat ist für HTTP eine sehr hässliche Lösung da die Client-IP bei TCP-Forwarding nicht angezeigt wird. Für HTTP wäre somit ein reverse Proxy bedeutend geeigneter.

Es wäre bedeutend hilfreicher wenn du auflisten würdest welche Dienste dein Server anbieten soll um Vorschläge zu geben. Ausserdem ist es wichtig zu wissen ob dein Server auch externe Verbindungen (Stichwort E-Mail) startet - womit sich die echte IP des Servers herausfinden liesse.
Rein für HTTP gibt es auch schon fertige Lösungen => siehe Cloudflare.

 

[Ayano]

Morgen,
Sind ja nicht nur rein fertige CloudFlare lösungen, da bin ich auch drin, um allgemein HTTP zu schützen.

Schützt die echten IP's

Das was weitergereicht werden soll sind reine TCP Streamingdienste auf mehren Ports die nicht allzuviel Datentransfer erfordern. UDP wird hier nicht benötigt, ein Teamspeakserver läuft auf dem Protected Host selbst, der dann etwas UDP braucht und das funktioniert auch problemlos.


Bin dann erstmal arbeiten, schau mir das ganze heut Abend an.