Ddos защита. Как организовать защиту проксирование порта tcp?

Question

[rader90]

Хотелось сделать проксироние или проброс порта tcp(трафик не веб). IP адреса сервисов приложений хотелось скрыть от посторонних. Как реализовать даже не знаю. Есть сервер на linux debian с хорошим каналом 10 Гбит/с с защитой от ддос атак, у сервисов сервера канал 100 мбит/с и 1 Гбит/с без защиты от ддос атак.

Comments

[Ltonid]

Надо понимать что "защита" от ддоса, это всего лишь фильтрация того или иного трафика на разных уровнях. Если у вас 1 порт на 1 сервис и 1 ip на 1 сервис, то проще фильтровать прямо на входе в сервис. Если сервис предполагает один коннект от одного ip за единицу времени, то банить всё что превышает данные рамки. Это самый простой принцип защиты от ддоса. Остальные принципы построены на усложнении данной схемы. Например многие видят сейчас в интернете заглушки от сервисов защиты, где тикает таймер и висит картинка предупреждающая что это защита от ддоса. Эффективно, но некрасиво. Собственно, вы для себя опеделяете баланс эффективности и красоты. У меня например ночью в определенные часы супер жесткий режим, в другие чуть послабже, днем ручной. Да есть ложные баны, но я могу себе это позволить.

Answer 1

[moropsk]

Тут что-то было
https://habr.com/post/417179/

настроить Nginx так, чтобы он проксировал запросы на разные порты в зависимости от домена.