DNS com GRE

[rodrigo286]

Tudo bem pessoal estou em uma guerra aqui para fazer isso funcionar já estou pelo menos com uns 60% feito, porêm está difícil e eu gostaria de contar com ajuda da galera aqui que talvez já tenha feito esse tipo de configuração.

Objetivo disso tudo pessoal é fazer todo o tráfego do site passar pelo meu Cloud onde existe um proteção DoS / DDoS melhor e mais organizada e também ocultar o IP do servidor dedicado que não tem proteção.

Estou tentando de várias formas se eu conseguir passo o tutorial aqui no forum para todos.

 

Emfim vou explicar minha duvida, estou com a seguinte situação:

Cloud internacional com 2 IPv4.

Citar

 

1º IPv4 público: 1.1.1.1

2º IPv4 público: 2.2.2.2

 

Neste Cloud criei dois túneis GRE que dei os respectivos nomes: ns-uk0 e ns-uk1 com os seguintes IPv4:

Citar

 

ns-uk0: 10.0.0.1

ns-uk1: 10.0.0.3

 

 

Em seguida eu tenho um servidor DNS onde também existem dois IPv4.

Citar

 

1º IPv4 público: 3.3.3.3

2º IPv4 público: 4.4.4.4

 

Neste dedicado eu criei também dois túneis GRE para que pudesse fazer a integração com o Cloud, esses túneis receberam os respectivos nomes e IPv4:

Citar

 

ns-uk0: 10.0.0.2

ns-uk1: 10.0.0.4

 

 

Após tudo isso testei e os túneis GRE se comunicam perfeitamente então fiz os seguintes DNS's no meu domínio:

Citar

 

ns0.site.com.br - 1.1.1.1

ns1.site.com.br - 2.2.2.2

ns2.site.com.br - 3.3.3.3

ns3.site.com.br - 4.4.4.4

 

 

Ao pingar todos os DNS respondem corretamente e sem problemas com isso eu criei uma regra dentro do cloud para sempre que uma requisição DNS na porta 53 seja feita a ele, que ela seja transferida para os IPs 10.0.0.2 e 10.0.0.4 ficando da seguinte forma:

Citar

iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 10.0.0.2:53
iptables -t nat -A PREROUTING -p udp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 10.0.0.2:53
iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 53 -j DNAT --to-destination 10.0.0.4:53
iptables -t nat -A PREROUTING -p udp -d 2.2.2.2 --dport 53 -j DNAT --to-destination 10.0.0.4:53

Dessa forma ao registrar um domínio o dados seriam roteados até o servidor dedicado, com isso eu crie dois sites no meu cPanel:

semgre.com.br - IPv4 do site no cPanel: 3.3.3.3 / DNS's do site: ns2.site.com.br e ns3.site.com.br

comgre.com.br - IPv4 do site no cPanel: 1.1.1.1 / DNS's do site: ns0.site.com.br e ns1.site.com.br

 

Após essa config o site semgre.com.br funciona normal, pois seu DNS conecta direto ao dedicado

Já sempre que entro no site comgre.com.br sou redirecionado para comgre.com.br/cgi-sys/defaultwebpage.cgi

Já tentei fazer varias configurações para tentar resolver como colocar a regra abaixo no servidor dedicado afim de voltar o trafego para o IP original:

Citar

iptables -t nat -A OUTPUT -p tcp -d 10.0.0.2 --dport 53 -j DNAT --to-destination 1.1.1.1:53
iptables -t nat -A OUTPUT -p udp -d 10.0.0.2 --dport 53 -j DNAT --to-destination 1.1.1.1:53
iptables -t nat -A OUTPUT -p tcp -d 10.0.0.4 --dport 53 -j DNAT --to-destination 2.2.2.2:53
iptables -t nat -A OUTPUT -p udp -d 10.0.0.4 --dport 53 -j DNAT --to-destination 2.2.2.2:53

Porem sem efeito, vocês tem ideia de em que estou errando?

Estou precisando resolver isso rápido.

 

Obrigado e grande abraço.

 

 

 

[Bruno Marques]

Ta pelo que eu entendi, você quer que o primeiro servidor, seja uma especie de proxy reverso é isso? assim os acessos http bate nele e ele encaminha para o segundo servidor?

Neste caso porque você não instala um nginx como proxy reverso? 

[rodrigo286]

Boa tarde @Bruno Marques  obrigado pela ajuda, então acho que eu não expliquei claramente.

Eu tenho dois servidores um Cloud onde o objetivo dele é somente criação de tuneis GRE, pois ele tem uma proteção muito boa contra ataques.

E também tenho um dedicado, porêm esse dedicado não tem proteção DoS / DDoS alguma, totalmente desprotegido.

Eu quero que todo tráfego passe pelo meu Cloud e depois chegue limpo no dedicado.

Dessa forma meu cloud cuida do ataque caso exista e no final todo tráfego legítimo chega no servidor.

Eu gostaria que os IPv4 públicos do meu cloud seriam usados como DNS ou algo do tipo que esconda o REAL IPv4 do meu dicado.

Dessa forma qualquer um que acessar seja cliente ou não nunca vai saber o IP do dedicado.

Por isso pensei que a única maneira seria por GRE ou VPN, porêm acredito que o GRE seja melhor para esse tipo de situação.

Estou fazendo vários tipos de testes aqui, mas ainda não consegui nada 100% funcional.

 

Abraço.

[Bruno Marques]

A ok, então o problema pelo que estou vendo é que no dns vc aponta para um ip exemplo 1.1.1.1 porém no cpanel o vhost do site esta configurado com outro ip 2.2.2.2 por isso o erro de default page do cpanel. 

 

 

[rodrigo286]

Boa tarde, então na verdade é da seguinte forma:

 

CLOUD

IPv4: 185.xxx.xxx.26 - pns0.site.com.br - IP Público

IPv4: 185.xxx.xxx.200 - pns1.site.com.br - IP Público

IPv4: 10.0.0.1 - IP GRE ns-uk0

IPv4: 10.0.0.3 - IP GRE ns-uk1

 

DEDICADO

IPv4: 199.xxx.xxx.122 - pns2.site.com.br - IP Público

IPv4: 104.xxx.xxx.102 - pns3.site.com.br - IP Público

IPv4: 10.0.0.2 - IP GRE ns-uk0

IPv4: 10.0.0.4 - IP GRE ns-uk1

 

Quero que os sites utilizem como DNS os endereços pns0.site.com.br e pns1.site.com.br e assim se alguém dar ping ou procurar os IPv4 dos sites sempre encontrem os IPv4 185.xxx.xxx.26 e 185.xxx.xxx.200, pois esses IPv4 tem proteção DoS / DDoS.

 

Quer dizer o Cloud que vai intermediar o acesso ao servidor dedicado, filtrando o tráfego até o mesmo.

Estou tentando fazer isso por meio de tuneis GRE, usando este método abaixo:

http://ask.xmodulo.com/create-gre-tunnel-linux.html

 

Abraço e obrigado.

 

 

[rodrigo286]

Pessoal me passaram que eu posso fazer o o cloud como DNS slave e assim esconder o master, porem ainda não consigo deixar o meu Cloud como DNS, preciso que ela seja o DNS.

 

Abraço.

[Joel Emanoel]

Alguém com alguma solução?