Защита Прячем IP сервера

Neo`

Neo`

Последний из атеистов
VIP
Старожил I степени
Сообщения
59
Розыгрыши
0
Репутация
0
Реакции
33
Баллы
875
Хроники
  1. Interlude
Приветствую наше драгоценное сообщество! Вопрос у меня следующий - пришло понимание, что "светить" настоящий IP auth и gameserver - так себе затея (потому, что зная реальный IP auth и гейм-сервера - его легко можно заддосить до этапа, когда хостинг "попросит" проект "пройти на выход с вещами").
Соот-но есть идея "скрыть" реальные ипы за прокси (да, да, я знаю, что прокси тоже заддосят и "попросят на выход", но во-первых - их можно просто выключить и переждать атаку, во-вторых - если попросят на выход прокси - это не так критично, как если попросят на выход сервер на котором крутится PTS).
Реализаций этой идеи - как пальцев на ногах у черепашки ниндзя (два):

1. конструкция iptables по типу:
Код: 
iptables -t nat -A PREROUTING -p tcp --dport 2106 -j DNAT --to-destination Y.Y.Y.Y:2106
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 2106 -j SNAT --to-source X.X.X.X:1024-32000
Плюсы этой реализации - ничего, кроме чистого линупса, на прокси не требуется - всё реализуется стандартными средствами и работать будет "быстро".

2. это relative-proxy NGINX (подробнее об этом можно почитать
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
)
Плюсы - это вероятно тоже работает, минусы - для этого потребуется установка и конфигурация nginx, что в целом не сложно, но вариант 1 - ещё проще.

Хочу задать вопрос знатокам - какие подводные камни могут ждать в этих реализациях? Будут ли реальные "плюсы" от nginx или вариант с iptables - вполне себе решение которые имеет право на жизнь?
 

Все нюансы только при высокой нагрузке. С Iptables, например, нельзя нормально балансировать, с nginx - без проблем.
 
Neo` написал(а):
Приветствую наше драгоценное сообщество! Вопрос у меня следующий - пришло понимание, что "светить" настоящий IP auth и gameserver - так себе затея (потому, что зная реальный IP auth и гейм-сервера - его легко можно заддосить до этапа, когда хостинг "попросит" проект "пройти на выход с вещами").
Соот-но есть идея "скрыть" реальные ипы за прокси (да, да, я знаю, что прокси тоже заддосят и "попросят на выход", но во-первых - их можно просто выключить и переждать атаку, во-вторых - если попросят на выход прокси - это не так критично, как если попросят на выход сервер на котором крутится PTS).
Реализаций этой идеи - как пальцев на ногах у черепашки ниндзя (два):

1. конструкция iptables по типу:
Код: 
iptables -t nat -A PREROUTING -p tcp --dport 2106 -j DNAT --to-destination Y.Y.Y.Y:2106
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 2106 -j SNAT --to-source X.X.X.X:1024-32000
Плюсы этой реализации - ничего, кроме чистого линупса, на прокси не требуется - всё реализуется стандартными средствами и работать будет "быстро".

2. это relative-proxy NGINX (подробнее об этом можно почитать
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
)
Плюсы - это вероятно тоже работает, минусы - для этого потребуется установка и конфигурация nginx, что в целом не сложно, но вариант 1 - ещё проще.

Хочу задать вопрос знатокам - какие подводные камни могут ждать в этих реализациях? Будут ли реальные "плюсы" от nginx или вариант с iptables - вполне себе решение которые имеет право на жизнь?
Нажмите, чтобы раскрыть...
Все что вы описали не будет скрывать реальный IP игрового сервера. Почему?

Протокол клиента учитывает чтобы можно было посылать реальный IP через шифрованные пакеты логин сервера. То есть, даже если вы установите прокси через другую систему, ваш логин сервер всеравно выдаст где и как (IP и порт) клиент должен будет подключаться.

Как сформулировать проблему? Нужно расшифровать пакет от логин сервера, поставить IP прокси, зашифровать пакет и отослать на клиент. Приэтом, нужно также понимать что-бы когда клиент соединится с прокси, он мог соединиться с тем игровым сервером который был отослан ранее (тут может быть много игровых серверов с различными IP).

В своем проекте у меня уже имеется прокси которая все это умеет, даже более. Посмотрите тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Прокси даже замещает шифрование от игровых серверов, так что вы просто не будете знать играете вы на реальном сервере или нет. Моя прокси работает только с клиентом и серверами High-Five (тестировал как на своем сервере так и L2J). Для поддержки других протоколов нужно переписывать подписи всех пакетов.
 
MrThirtyOddSix написал(а):
Все что вы описали не будет скрывать реальный IP игрового сервера. Почему?

Протокол клиента учитывает чтобы можно было посылать реальный IP через шифрованные пакеты логин сервера. То есть, даже если вы установите прокси через другую систему, ваш логин сервер всеравно выдаст где и как (IP и порт) клиент должен будет подключаться.

Как сформулировать проблему? Нужно расшифровать пакет от логин сервера, поставить IP прокси, зашифровать пакет и отослать на клиент. Приэтом, нужно также понимать что-бы когда клиент соединится с прокси, он мог соединиться с тем игровым сервером который был отослан ранее (тут может быть много игровых серверов с различными IP).

В своем проекте у меня уже имеется прокси которая все это умеет, даже более. Посмотрите тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Прокси даже замещает шифрование от игровых серверов, так что вы просто не будете знать играете вы на реальном сервере или нет. Моя прокси работает только с клиентом и серверами High-Five (тестировал как на своем сервере так и L2J). Для поддержки других протоколов нужно переписывать подписи всех пакетов.
Нажмите, чтобы раскрыть...
Фигасе как завёрнуто. Тогда моё сообщение выше не имеет ничего общего с линейкой :)
 
В принципе можно сделать это так чтобы сам логин сервер отсылал IP от прокси (система которую вы описали в пункте #1) Я думаю это будет рабочий вариант только когда у вас один игровой сервер, но это не проверенно. Свой проект по прокси я сделал как раз с для поддержки более одного сервера.
 
MrThirtyOddSix написал(а):
Все что вы описали не будет скрывать реальный IP игрового сервера. Почему?

Протокол клиента учитывает чтобы можно было посылать реальный IP через шифрованные пакеты логин сервера. То есть, даже если вы установите прокси через другую систему, ваш логин сервер всеравно выдаст где и как (IP и порт) клиент должен будет подключаться.

Как сформулировать проблему? Нужно расшифровать пакет от логин сервера, поставить IP прокси, зашифровать пакет и отослать на клиент. Приэтом, нужно также понимать что-бы когда клиент соединится с прокси, он мог соединиться с тем игровым сервером который был отослан ранее (тут может быть много игровых серверов с различными IP).

В своем проекте у меня уже имеется прокси которая все это умеет, даже более. Посмотрите тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Прокси даже замещает шифрование от игровых серверов, так что вы просто не будете знать играете вы на реальном сервере или нет. Моя прокси работает только с клиентом и серверами High-Five (тестировал как на своем сервере так и L2J). Для поддержки других протоколов нужно переписывать подписи всех пакетов.
Нажмите, чтобы раскрыть...
Так современные логин-серверы (hauthd и стоковый самописный auth от AdvExt это имеют на борту (настройки прокси для l2server) и я полагаю, что в этих "настройках" как раз подразумевается подмена IP о чём вы написали). Вопрос только в реализации самого туннеля для этого "прокси"... разве нет?
 
ПТС обычно роняют не ддосом. Куда дешевле уронить нпс сервер через уязвимости клиента, чем каким-то терабайтным байпассом или ботнетом.
Я бы советовал для начала разузнать о всех "нюансах" клиента, который используется под ПТС сервер.
 
Neo` написал(а):
Так современные логин-серверы (hauthd и стоковый самописный auth от AdvExt это имеют на борту (настройки прокси для l2server) и я полагаю, что в этих "настройках" как раз подразумевается подмена IP о чём вы написали). Вопрос только в реализации самого туннеля для этого "прокси"... разве нет?
Нажмите, чтобы раскрыть...
Нужно определить какую именно проблему нужно нам решать.

Всего есть по крайней мере три IP. Прокси, игровой сервер и логин сервер. Я уже рассказал про то если у вас есть один игровой сервер, то можно все наладить как вы описали. Требуется только чтобы логин сервер выдавал IP от прокси.

Когда у вас много серверов, тут нужно будет установить прокси для каждого игрового сервера, так как нужен будет отдельный IP. Что уже будет напрягать. То чтo я разработал работает с множеством игровых серверов, то есть одна прокси может доддерживать много клиентов (клиент IP), как и много игровых серверов серверов (сервер IP), но один логин сервер (тут можно использовать load balancer между многими логин серверами если охота есть)
 
MrThirtyOddSix написал(а):
Нужно определить какую именно проблему нужно нам решать.

Всего есть по крайней мере три IP. Прокси, игровой сервер и логин сервер. Я уже рассказал про то если у вас есть один игровой сервер, то можно все наладить как вы описали. Требуется только чтобы логин сервер выдавал IP от прокси.

Когда у вас много серверов, тут нужно будет установить прокси для каждого игрового сервера, так как нужен будет отдельный IP. Что уже будет напрягать. То чтo я разработал работает с множеством игровых серверов, то есть одна прокси может доддерживать много клиентов (клиент IP), как и много игровых серверов серверов (сервер IP), но один логин сервер (тут можно использовать load balancer между многими логин серверами если охота есть)
Нажмите, чтобы раскрыть...
Спасибо большое за объяснение нюансов работы auth сервера. Я совершенно точно не знал о том, что внутри шифрованных пакетов authd потенциально может показать реальный IP игрового сервера и об этом нужно знать.

Andragor написал(а):
ПТС обычно роняют не ддосом. Куда дешевле уронить нпс сервер через уязвимости клиента, чем каким-то терабайтным байпассом или ботнетом.
Я бы советовал для начала разузнать о всех "нюансах" клиента, который используется под ПТС сервер.
Нажмите, чтобы раскрыть...
А как об этих "нюансах" узнать? Имеете ввиду попытаться "закрыть" возможность подключения не легитимных клиентов к серверу? (защита strix?)
 
Последнее редактирование модератором:
лучше через nginx/haproxy, в идеале с передачей реальных ip через proxy protocol, иначе будет проблема с топами/лимитами по ip и тд, главное что бы сборка позволяла
 
Neo` написал(а):
Спасибо большое за объяснение нюансов работы auth сервера. Я совершенно точно не знал о том, что внутри шифрованных пакетов authd потенциально может показать реальный IP игрового сервера и об этом нужно знать.


А как об этих "нюансах" узнать? Имеете ввиду попытаться "закрыть" возможность подключения не легитимных клиентов к серверу? (защита strix?)
Нажмите, чтобы раскрыть...
Из опыта игрока, который любит патчи. Лучше выбрать АА или смарт. Стрикс - моя любимая защита. Ее легче всего обойти :)
 
Мне интересно какая может быть реализация защиты от DDOS'a с помощью прокси? Ведь прокси возмет на себя удар и все, через такую прокси теперь никто играть не может. То есть игровой сервер будет работать, только вот нужно будет поднимать другую прокси через еще один IP. Ну еще снова и опять.

Кстати, если использовать прямой перевод пакетов, как например при использовании IPtables, не случится ли тот же самый DDOS? Вроде все пакеты DDOS должны направляться на открытый порт, и таким образом будут пересылаться на сами игровые серверы. Что в принципе будет опасно для производительности серверов, так как они всеравно должны принимать хоть какой-то пакетный траффик.

root@localhost:~# написал(а):
лучше через nginx/haproxy, в идеале с передачей реальных ip через proxy protocol, иначе будет проблема с топами/лимитами по ip и тд, главное что бы сборка позволяла
Нажмите, чтобы раскрыть...
Насчет передачи реальных IP адресов при использовании прокси. Это как возможно?
 
MrThirtyOddSix написал(а):
Мне интересно какая может быть реализация защиты от DDOS'a с помощью прокси? Ведь прокси возмет на себя удар и все, через такую прокси теперь никто играть не может. То есть игровой сервер будет работать, только вот нужно будет поднимать другую прокси через еще один IP. Ну еще снова и опять.

Кстати, если использовать прямой перевод пакетов, как например при использовании IPtables, не случится ли тот же самый DDOS? Вроде все пакеты DDOS должны направляться на открытый порт, и таким образом будут пересылаться на сами игровые серверы. Что в принципе будет опасно для производительности серверов, так как они всеравно должны принимать хоть какой-то пакетный траффик.


Насчет передачи реальных IP адресов при использовании прокси. Это как возможно?
Нажмите, чтобы раскрыть...
не знаю что там в птс, но в многих сборках есть механизм передачи реальных адресов
к примеру - люцера
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
 
root@localhost:~# написал(а):
не знаю что там в птс, но в многих сборках есть механизм передачи реальных адресов
к примеру - люцера
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Нажмите, чтобы раскрыть...
Судя по отзыву тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
реальный IP от клиента не передается. Я понимаю что многие сборки работают как раз на лимиты по IP адресу. Но в случае с прокси тут нужнo что-бы сама прокси могла сказать игровому серверу что вот такой-то клиент пришел от такого-то адреса. Так как соединение которое будет приходить от прокси всегда будет иметь IP адрес прокси. Я пока альтернативы не знаю как можно по другому, вот поэтому и спрашиваю.

Вот еще тут подтверждение:
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
 
MrThirtyOddSix написал(а):
Судя по отзыву тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
реальный IP от клиента не передается. Я понимаю что многие сборки работают как раз на лимиты по IP адресу. Но в случае с прокси тут нужнo что-бы сама прокси могла сказать игровому серверу что вот такой-то клиент пришел от такого-то адреса. Так как соединение которое будет приходить от прокси всегда будет иметь IP адрес прокси. Я пока альтернативы не знаю как можно по другому, вот поэтому и спрашиваю.

Вот еще тут подтверждение:
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Нажмите, чтобы раскрыть...
передаётся, на форуме этернити даже скрипт видел для автонастройки под 11 дебиан
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

p.s. не уверен что линк рабочий, мб раздел доступен только для клиентов
 
Почитал далее что есть Proxy Protocol и он поддерживает передачу IP клиента. То есть в сборке должен быть способ работы с прокси на уровне соединения от сети который поддерживает такую штуку. В принципе неплохо.

Можно кстати почитать тут как настроить HAProxy
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
На Ngix вроде такой штуки нет.
 
MrThirtyOddSix написал(а):
Почитал далее что есть Proxy Protocol и он поддерживает передачу IP клиента. То есть в сборке должен быть способ работы с прокси который поддерживает такую штуку. В принципе неплохо.

Можно кстати почитать тут как настроить HAProxy
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
На Ngix вроде такой штуки нет.
Нажмите, чтобы раскрыть...
да, сборка должна поддерживать это дело
в nginx по тому же протоколу всё передаётся
 
root@localhost:~# написал(а):
да, сборка должна поддерживать это дело
в nginx по тому же протоколу всё передаётся
Нажмите, чтобы раскрыть...
Нашел еще описание самого протокола, достаточно просто даже самому все сделать и привинтить так как формат первого пакетa в соедиединении достаточно прост для обоих версий :
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация


Насчет Nginx тут немного напутанно, но для смелых можно посмотреть тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация


В любом случае HAProxy или Nginx будут поддерживать только один игровой сервер, что я и описал ранее. Но еще не понятно какое будет поведение прокси при ситуации DDOS.
 
MrThirtyOddSix написал(а):
Нашел еще описание самого протокола, достаточно просто даже самому все сделать и привинтить так как формат первого пакетa в соедиединении достаточно прост для обоих версий :
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация


Насчет Nginx тут немного напутанно, но для смелых можно посмотреть тут
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация


В любом случае HAProxy или Nginx будут поддерживать только один игровой сервер, что я и описал ранее. Но еще не понятно какое будет поведение прокси при ситуации DDOS.
Нажмите, чтобы раскрыть...
с nginx тебе по идее в том же формате приходит, это вроде общий формат
 
root@localhost:~# написал(а):
с nginx тебе по идее в том же формате приходит, это вроде общий формат
Нажмите, чтобы раскрыть...
Я понимаю что все они они будут использовать один и тот же протокол (их на самом деле двe версии). Я про то что как такие вот прокси будут полезны.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

V
При запуске клиента Aion нет ни одного сервера
Ответы
6
Просмотры
206
vovan
V
М
  • Вопрос Вопрос
Ошибка при сборке сервера
Ответы
3
Просмотры
159
Металлург1985
М
ids
При смене языка в клиенте меняем язык сервера
2 3
Ответы
41
Просмотры
882
root@localhost:~#
root@localhost:~#
Clarity
Предоставляю услуги: Сервера/Клиента.
Ответы
2
Просмотры
182
jia
jia
gaara_199
  • Закрыта
Не понимаю как делать пач для сервера l2
2 3
Ответы
47
Просмотры
Aristo
Aristo
Назад
Сверху