Ir para conteúdo

Featured Replies

Postado

Tudo bem pessoal estou em uma guerra aqui para fazer isso funcionar já estou pelo menos com uns 60% feito, porêm está difícil e eu gostaria de contar com ajuda da galera aqui que talvez já tenha feito esse tipo de configuração.

Objetivo disso tudo pessoal é fazer todo o tráfego do site passar pelo meu Cloud onde existe um proteção DoS / DDoS melhor e mais organizada e também ocultar o IP do servidor dedicado que não tem proteção.

Estou tentando de várias formas se eu conseguir passo o tutorial aqui no forum para todos.

 

Emfim vou explicar minha duvida, estou com a seguinte situação:

Cloud internacional com 2 IPv4.

Citar

 

1º IPv4 público: 1.1.1.1

2º IPv4 público: 2.2.2.2

 

Neste Cloud criei dois túneis GRE que dei os respectivos nomes: ns-uk0 e ns-uk1 com os seguintes IPv4:

Citar

 

ns-uk0: 10.0.0.1

ns-uk1: 10.0.0.3

 

 

Em seguida eu tenho um servidor DNS onde também existem dois IPv4.

Citar

 

1º IPv4 público: 3.3.3.3

2º IPv4 público: 4.4.4.4

 

Neste dedicado eu criei também dois túneis GRE para que pudesse fazer a integração com o Cloud, esses túneis receberam os respectivos nomes e IPv4:

Citar

 

ns-uk0: 10.0.0.2

ns-uk1: 10.0.0.4

 

 

Após tudo isso testei e os túneis GRE se comunicam perfeitamente então fiz os seguintes DNS's no meu domínio:

Citar

 

ns0.site.com.br - 1.1.1.1

ns1.site.com.br - 2.2.2.2

ns2.site.com.br - 3.3.3.3

ns3.site.com.br - 4.4.4.4

 

 

Ao pingar todos os DNS respondem corretamente e sem problemas com isso eu criei uma regra dentro do cloud para sempre que uma requisição DNS na porta 53 seja feita a ele, que ela seja transferida para os IPs 10.0.0.2 e 10.0.0.4 ficando da seguinte forma:

Citar

iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 10.0.0.2:53
iptables -t nat -A PREROUTING -p udp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 10.0.0.2:53
iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 53 -j DNAT --to-destination 10.0.0.4:53
iptables -t nat -A PREROUTING -p udp -d 2.2.2.2 --dport 53 -j DNAT --to-destination 10.0.0.4:53

Dessa forma ao registrar um domínio o dados seriam roteados até o servidor dedicado, com isso eu crie dois sites no meu cPanel:

semgre.com.br - IPv4 do site no cPanel: 3.3.3.3 / DNS's do site: ns2.site.com.br e ns3.site.com.br

comgre.com.br - IPv4 do site no cPanel: 1.1.1.1 / DNS's do site: ns0.site.com.br e ns1.site.com.br

 

Após essa config o site semgre.com.br funciona normal, pois seu DNS conecta direto ao dedicado

Já sempre que entro no site comgre.com.br sou redirecionado para comgre.com.br/cgi-sys/defaultwebpage.cgi

Já tentei fazer varias configurações para tentar resolver como colocar a regra abaixo no servidor dedicado afim de voltar o trafego para o IP original:

Citar

iptables -t nat -A OUTPUT -p tcp -d 10.0.0.2 --dport 53 -j DNAT --to-destination 1.1.1.1:53
iptables -t nat -A OUTPUT -p udp -d 10.0.0.2 --dport 53 -j DNAT --to-destination 1.1.1.1:53
iptables -t nat -A OUTPUT -p tcp -d 10.0.0.4 --dport 53 -j DNAT --to-destination 2.2.2.2:53
iptables -t nat -A OUTPUT -p udp -d 10.0.0.4 --dport 53 -j DNAT --to-destination 2.2.2.2:53

Porem sem efeito, vocês tem ideia de em que estou errando?

Estou precisando resolver isso rápido.

 

Obrigado e grande abraço.

 

 

 


Postado

Ta pelo que eu entendi, você quer que o primeiro servidor, seja uma especie de proxy reverso é isso? assim os acessos http bate nele e ele encaminha para o segundo servidor?

Neste caso porque você não instala um nginx como proxy reverso? 


Postado
  • Autor

Boa tarde @Bruno Marques  obrigado pela ajuda, então acho que eu não expliquei claramente.

Eu tenho dois servidores um Cloud onde o objetivo dele é somente criação de tuneis GRE, pois ele tem uma proteção muito boa contra ataques.

E também tenho um dedicado, porêm esse dedicado não tem proteção DoS / DDoS alguma, totalmente desprotegido.

Eu quero que todo tráfego passe pelo meu Cloud e depois chegue limpo no dedicado.

Dessa forma meu cloud cuida do ataque caso exista e no final todo tráfego legítimo chega no servidor.

Eu gostaria que os IPv4 públicos do meu cloud seriam usados como DNS ou algo do tipo que esconda o REAL IPv4 do meu dicado.

Dessa forma qualquer um que acessar seja cliente ou não nunca vai saber o IP do dedicado.

Por isso pensei que a única maneira seria por GRE ou VPN, porêm acredito que o GRE seja melhor para esse tipo de situação.

Estou fazendo vários tipos de testes aqui, mas ainda não consegui nada 100% funcional.

 

Abraço.


Postado

A ok, então o problema pelo que estou vendo é que no dns vc aponta para um ip exemplo 1.1.1.1 porém no cpanel o vhost do site esta configurado com outro ip 2.2.2.2 por isso o erro de default page do cpanel. 

 

 


Postado
  • Autor

Boa tarde, então na verdade é da seguinte forma:

 

CLOUD

IPv4: 185.xxx.xxx.26 - pns0.site.com.br - IP Público

IPv4: 185.xxx.xxx.200 - pns1.site.com.br - IP Público

IPv4: 10.0.0.1 - IP GRE ns-uk0

IPv4: 10.0.0.3 - IP GRE ns-uk1

 

DEDICADO

IPv4: 199.xxx.xxx.122 - pns2.site.com.br - IP Público

IPv4: 104.xxx.xxx.102 - pns3.site.com.br - IP Público

IPv4: 10.0.0.2 - IP GRE ns-uk0

IPv4: 10.0.0.4 - IP GRE ns-uk1

 

Quero que os sites utilizem como DNS os endereços pns0.site.com.br e pns1.site.com.br e assim se alguém dar ping ou procurar os IPv4 dos sites sempre encontrem os IPv4 185.xxx.xxx.26 e 185.xxx.xxx.200, pois esses IPv4 tem proteção DoS / DDoS.

 

Quer dizer o Cloud que vai intermediar o acesso ao servidor dedicado, filtrando o tráfego até o mesmo.

Estou tentando fazer isso por meio de tuneis GRE, usando este método abaixo:

http://ask.xmodulo.com/create-gre-tunnel-linux.html

 

Abraço e obrigado.

 

 


Postado
  • Autor

Pessoal me passaram que eu posso fazer o o cloud como DNS slave e assim esconder o master, porem ainda não consigo deixar o meu Cloud como DNS, preciso que ela seja o DNS.

 

Abraço.



Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?