Задать вопрос

Микротик. Как настроить проброс до веб сервера?

Суть проблемы...
Настроен проброс портов с 77.77.77.1, 77.77.77.2 на 66.66.66.66.
За ним стоит веб сервер 10.10.10.10.

Сетевое оборудование mikrotik cloud core 1036-12G-4S.

Так вот. При обращении клиентов на 66.66.66.66 - веб сервер видит внешние ip адреса клиентов, а при обращении через 77.77.77.1, 77.77.77.2 - веб сервер показывает ip 77.77.77.1, 77.77.77.2.

Каким образом реализовать проброс портов так, чтобы веб сервер видел ip адреса клиентов идущих через 77.77.77.1, 77.77.77.2?

ip 66.66.66.66 клиенты не должны видеть. прячусь от ддос.
Графическая схема упрощена.

a412ed0b523d4a958e332eb049ddca0f.jpg
  • Вопрос задан
  • 962 просмотра
Подписаться 6 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
@lega
Если на фронте стояли бы веб-сервера (например nginx), то можно было ip клиента запихивать в http заголовок (при проксировании это есть).
Ответ написан
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Как настроить проброс до веб сервера?

Поднять тоннель между 77.77.77.1, 77.77.77.2 и 66.66.66.66 после чего настроить проброс портов, так же как вы делали на 66.66.66.66.

А вообще это довольно кривая защита от ddos. Для этих целей есть CDN.
Ответ написан
valerium
@valerium
Изобретая велосипед
Если под пробросом портов с 77.77.77.[12] на 66.66.66.66 Вы имеете ввиду NAT, то 66.66.66.66 уже должен получать правильный IP отправителя, так как NAT подменяет только получателя. Соответственно, второй NAT на 66.66.66.66 ещё раз подменит получателя и на 10.10.10.10 придёт правильный отправитель.

Но может возникнуть проблема. Если маршрут от 77.77.77.[12] лежит через сторонний маршрутизатор (например, между разными
ДЦ), то он почти наверняка дропнет эти пакеты, потому что поймёт, что отправитель у них поддельный. Нужно или иметь договорённость с владельцем этого маршрутизатора, или не иметь этого маршрутизатора, например, хоститься в одном ДЦ или поднимать VPN или любой другой тоннель.

Кстати, в случае VPN хост 66.66.66.66 лишний, достаточно поднять VPN от 10.10.10.10 до 77.77.77.1 и 77.77.77.2. Правда, я не знаю, умеет ли Mikrotik поднимать VPN.
Ответ написан
@LiguidCool
Надо задаться вопросом, в чем разница настройки, ведь по сути настройка у всех микротов должна быть одинакова.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы