Clicky

Hospedado por Limestone Networks

Jump to content
  • Sign Up

Sign in to follow this  
rodrigo286

DNS com GRE

Recommended Posts

Tudo bem pessoal estou em uma guerra aqui para fazer isso funcionar já estou pelo menos com uns 60% feito, porêm está difícil e eu gostaria de contar com ajuda da galera aqui que talvez já tenha feito esse tipo de configuração.

Objetivo disso tudo pessoal é fazer todo o tráfego do site passar pelo meu Cloud onde existe um proteção DoS / DDoS melhor e mais organizada e também ocultar o IP do servidor dedicado que não tem proteção.

Estou tentando de várias formas se eu conseguir passo o tutorial aqui no forum para todos.

 

Emfim vou explicar minha duvida, estou com a seguinte situação:

Cloud internacional com 2 IPv4.

Citar

 

1º IPv4 público: 1.1.1.1

2º IPv4 público: 2.2.2.2

 

Neste Cloud criei dois túneis GRE que dei os respectivos nomes: ns-uk0 e ns-uk1 com os seguintes IPv4:

Citar

 

ns-uk0: 10.0.0.1

ns-uk1: 10.0.0.3

 

 

Em seguida eu tenho um servidor DNS onde também existem dois IPv4.

Citar

 

1º IPv4 público: 3.3.3.3

2º IPv4 público: 4.4.4.4

 

Neste dedicado eu criei também dois túneis GRE para que pudesse fazer a integração com o Cloud, esses túneis receberam os respectivos nomes e IPv4:

Citar

 

ns-uk0: 10.0.0.2

ns-uk1: 10.0.0.4

 

 

Após tudo isso testei e os túneis GRE se comunicam perfeitamente então fiz os seguintes DNS's no meu domínio:

Citar

 

ns0.site.com.br - 1.1.1.1

ns1.site.com.br - 2.2.2.2

ns2.site.com.br - 3.3.3.3

ns3.site.com.br - 4.4.4.4

 

 

Ao pingar todos os DNS respondem corretamente e sem problemas com isso eu criei uma regra dentro do cloud para sempre que uma requisição DNS na porta 53 seja feita a ele, que ela seja transferida para os IPs 10.0.0.2 e 10.0.0.4 ficando da seguinte forma:

Citar

iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 10.0.0.2:53
iptables -t nat -A PREROUTING -p udp -d 1.1.1.1 --dport 53 -j DNAT --to-destination 10.0.0.2:53
iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 53 -j DNAT --to-destination 10.0.0.4:53
iptables -t nat -A PREROUTING -p udp -d 2.2.2.2 --dport 53 -j DNAT --to-destination 10.0.0.4:53

Dessa forma ao registrar um domínio o dados seriam roteados até o servidor dedicado, com isso eu crie dois sites no meu cPanel:

semgre.com.br - IPv4 do site no cPanel: 3.3.3.3 / DNS's do site: ns2.site.com.br e ns3.site.com.br

comgre.com.br - IPv4 do site no cPanel: 1.1.1.1 / DNS's do site: ns0.site.com.br e ns1.site.com.br

 

Após essa config o site semgre.com.br funciona normal, pois seu DNS conecta direto ao dedicado

Já sempre que entro no site comgre.com.br sou redirecionado para comgre.com.br/cgi-sys/defaultwebpage.cgi

Já tentei fazer varias configurações para tentar resolver como colocar a regra abaixo no servidor dedicado afim de voltar o trafego para o IP original:

Citar

iptables -t nat -A OUTPUT -p tcp -d 10.0.0.2 --dport 53 -j DNAT --to-destination 1.1.1.1:53
iptables -t nat -A OUTPUT -p udp -d 10.0.0.2 --dport 53 -j DNAT --to-destination 1.1.1.1:53
iptables -t nat -A OUTPUT -p tcp -d 10.0.0.4 --dport 53 -j DNAT --to-destination 2.2.2.2:53
iptables -t nat -A OUTPUT -p udp -d 10.0.0.4 --dport 53 -j DNAT --to-destination 2.2.2.2:53

Porem sem efeito, vocês tem ideia de em que estou errando?

Estou precisando resolver isso rápido.

 

Obrigado e grande abraço.

 

 

 

Share this post


Link to post
Share on other sites

Boa tarde @Bruno Marques  obrigado pela ajuda, então acho que eu não expliquei claramente.

Eu tenho dois servidores um Cloud onde o objetivo dele é somente criação de tuneis GRE, pois ele tem uma proteção muito boa contra ataques.

E também tenho um dedicado, porêm esse dedicado não tem proteção DoS / DDoS alguma, totalmente desprotegido.

Eu quero que todo tráfego passe pelo meu Cloud e depois chegue limpo no dedicado.

Dessa forma meu cloud cuida do ataque caso exista e no final todo tráfego legítimo chega no servidor.

Eu gostaria que os IPv4 públicos do meu cloud seriam usados como DNS ou algo do tipo que esconda o REAL IPv4 do meu dicado.

Dessa forma qualquer um que acessar seja cliente ou não nunca vai saber o IP do dedicado.

Por isso pensei que a única maneira seria por GRE ou VPN, porêm acredito que o GRE seja melhor para esse tipo de situação.

Estou fazendo vários tipos de testes aqui, mas ainda não consegui nada 100% funcional.

 

Abraço.

Share this post


Link to post
Share on other sites

Boa tarde, então na verdade é da seguinte forma:

 

CLOUD

IPv4: 185.xxx.xxx.26 - pns0.site.com.br - IP Público

IPv4: 185.xxx.xxx.200 - pns1.site.com.br - IP Público

IPv4: 10.0.0.1 - IP GRE ns-uk0

IPv4: 10.0.0.3 - IP GRE ns-uk1

 

DEDICADO

IPv4: 199.xxx.xxx.122 - pns2.site.com.br - IP Público

IPv4: 104.xxx.xxx.102 - pns3.site.com.br - IP Público

IPv4: 10.0.0.2 - IP GRE ns-uk0

IPv4: 10.0.0.4 - IP GRE ns-uk1

 

Quero que os sites utilizem como DNS os endereços pns0.site.com.br e pns1.site.com.br e assim se alguém dar ping ou procurar os IPv4 dos sites sempre encontrem os IPv4 185.xxx.xxx.26 e 185.xxx.xxx.200, pois esses IPv4 tem proteção DoS / DDoS.

 

Quer dizer o Cloud que vai intermediar o acesso ao servidor dedicado, filtrando o tráfego até o mesmo.

Estou tentando fazer isso por meio de tuneis GRE, usando este método abaixo:

http://ask.xmodulo.com/create-gre-tunnel-linux.html

 

Abraço e obrigado.

 

 

Share this post


Link to post
Share on other sites

Pessoal me passaram que eu posso fazer o o cloud como DNS slave e assim esconder o master, porem ainda não consigo deixar o meu Cloud como DNS, preciso que ela seja o DNS.

 

Abraço.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...