Firewall w Polsce - Serwer we Francji

[SchErk 16]

Witam,

 

Wiele właścicieli serwerów,którzy posiadają maszyny z hostingu OVH zakupują też drugą maszynę w Polsce z hosteam.pl,która ma na celu filtrowanie ataków.Chciałbym się dowiedzieć czy faktycznie jest taki sposób,aby usługa działała przez ip serwera we francji,a atak został filtorwany przez maszynę w Polsce.

 

Jest też drugi sposób,gdyż osoby tłumaczą się,że posiadają firewalla z hosteam,który filtruje wszystko.

Wątpię w drugi sposób,gdyż firewall w hosteam znajduje się w Polsce,a maszyna właściciela we Francji.

 

Wiem też,że można byłoby stworzyć vpn z serwera w hosteam.pl,ale może podnieść się opóźnienie,które dla graczy może być uciążliwe.

 

Znacie może jakieś pomysły?

 

<----- Informacje ----->

1. Jest to moje przemyślenie i chciałbym się dowiedzieć czy takie coś można zrobić.

2. Jeżeli napisałem tu głupotę to proszę mnie uświadomić w normalny sposób.

 

 

[blfr 225]

Wiele właścicieli serwerów,którzy posiadają maszyny z hostingu OVH zakupują też drugą maszynę w Polsce z hosteam.pl,która ma na celu filtrowanie ataków.

"Wielu"? Wątpię. OVH ma własnego przyzwoitego anty-ddosa.

 

Chciałbym się dowiedzieć czy faktycznie jest taki sposób,aby usługa działała przez ip serwera we francji,a atak został filtorwany przez maszynę w Polsce.

Jak skonfigurujesz VPN-a albo jakieś reverse proxy, to tak.

 

Wiem też,że można byłoby stworzyć vpn z serwera w hosteam.pl,ale może podnieść się opóźnienie,które dla graczy może być uciążliwe.

Jeśli gracze są z Polski, to nie ma większej różnicy między połączeniem przez serwer w Hosteam do serwera w OVH, a bezpośrednim połączeniem z OVH.

 

Jeśli chodzi o Minecrafta, to może mają tylko jakieś lobby/bungeecorda w Polsce, a serwery właściwe w OVH?

[strefapc 69]

Myślę, że jest to bez sensu. OVH ma bardzo dobra ochronę ddos i nie wiem czy jakaś firma w Polsce może im w tym dorównać.

[MaTyyy 2]

Ja mam za to wręcz przeciwnie, lobby w OVH w celu odfiltrowania ataku, a reszta w SDC i śmiga to całkiem przyzwoicie

[sticky123 3]

Byłem klientem Voxility, Blacklotus, częściowo korzystałem z usług Staminusa i powiem tak - > OVH leży na ich tle. Firewall czyli ta cała traska bezpieczeństwa VAC jest dosyć optymalna, aczkolwiek całkowicie nie sprawdza się w przypadku ataków skierowanych metodą indywidualną na aplikacje. Przykładem takiej aplikacji jest Teamspeak oraz specjalne metody ataków TS3, które są ostatnimi czasy bardzo popularne w stresserach. Ataki stosowane tą metodą to ataki UDP-flood na port 9987, gdzie wszystkie firewalle, o ile nie mają zastosowanych odpowiednich patternów widzą ten pakiet jako normalny użytkownik. Testowaliśmy to na opcji Anty DDOS Pro i w momencie ataku, nawet nie uruchamiała się Arbora. Serwer leżał, w tcpdumpie odnotować było można ataki z każdego zadupia na świecie, ale filtr tego nie wycinał. Idąc dalej moją teorią, są dwie metody na to, aby zabezpieczyć takie lobby. Pierwsza to skorzystać z jakiegoś serwisu specjalizującego się w ddos mitigation - ale to opcja bardzo droga, zapewne zbyt droga na kieszeń Polaków. Natomiast druga opcja - country block. Znam wiele serwisów, które stoją np. w Hetznerze, gdzie ochrona jest jaka jest, ale sa nietykalni z racji country blocka. W tym kierunku sugeruję iść. OVH owszem..sprawdza się, ale nie w przypadku gdy atakują was cepy z darknetów. Przeżyłem, wybroniłem się, wiem co mówię. OVH ma tą wadę, że support nie pracuje tak jak w serwisach wyższej jakości (droższych ^^). Przykładowo będąc klientem Voxility, otrzymywałem atak, capture z dumpa, wysyłka do nich, po 10min. atak został zabezpieczony, filtry poprawione. I tak w kółko, aż metody ataków się skończyły. Biorąc pod uwagę czas reakcji, interwencję administratorów sieciowych w OVH, zanim zabezpieczą Ci wszystkie rodzaje ataków na twoją aplikację, minie wystarczająco duży okres czasu, aby Twój serwer upadł 17x. Oczywiście to tylko moja prywatna, mało obiektywna opinia dot. ovh poparta być może jakimś pechowym korzystaniem z ich usług.

Edytowano Luty 26, 2015 przez sticky123 (zobacz historię edycji)

[Bartosz Z 236]

Sticky, a to nie jest przypadkiem tak, że rozwiązanie OVH nie działa jeszcze w warstwie 7?

[SchErk 16]

Dobrze -> trafiliście,że chciałem stworzyć serwer minecraft,ale jeżeli dam lobby w np. hosteam,a serwery w ovh to jest możliwość wydobycia ip i portu przez netstat z strony metin2mod.tk.

 

Nie interesuje mnie serwer w ovh,gdyż ich zabezpieczenia leża na prostym udp floodzie na usługi takie jak : ts3,mc.

 

Anty-DDos pro przeznaczony jest dla serwerów dedykowanych,a na vps tego rozwiązania nie dają.

 

Mogę wykorzystać jeszcze putty + serwer rdp na windowsie i stworzyć tunel,który będzie filtrował,ale jak tunel ograniczy lącze z np 100mbits dla serwera w np. mintshost i np w ovh.

[Bartosz Z 236]

Kup sobie coś w OVH, zrób sobie dodatkowe filtry na poziomie MC. Nie wydziwiaj

[Misiek08 285]

Fajnie, że BC postawisz, fajnie że postawisz Lobby tu, a serwery tam. Jednak niestety jak chcesz teraz mieć serwer MC, żeby jako tako działał (ataków są teraz dziesiątki i nawet mając super pomysł ciężko się obronić) to potrzebujesz napisać dobry kawałek swojego kodu.

 

Ciekawe konstrukcje to proxy 1<->1 jeszcze przed BC, żeby przyjmować ataki UDP Flood w porządniejszym języku i rozwiązaniu niż serwer MC na Javie.

[SchErk 16]

No bywa... teraz ta cebulandia kupuje stressery i atakuje z nich myśląc,że zniszczą konkurencje.

 

Moja myśl polega na tym,żeby nie pisać firewalli z nieba,a ułatwić sobie drogę.

 

Tak jak pisalem o tym tunelu z vps hosteam do np. serwera mintshost to mógłbym zyskać ochronę przed cebulakami,ale jakby to współgrało z łaczem.Czy limit przykładowo z oferty openvz(hosteam - 10mbits) ograniczyłby serwer do 10mbits??

 

Czy do takiego tunelu nadawałby się tylko kvm?

 

Taka prosta wizja :

 

Serwer Mintshost(windows serwer) < tunel ssh > vps hosteam *

 

Przy pomocy programu proxifier oraz otwartym okienku putty.

 

Serwer pojawia się pod adresem 178.217.x.x

 

Czy to przejdzie?Jak spowolni się łącze?

 

 

Co do ovh to posiadają słaby support,wiele osób ma negatywne opinie co do usterek.Chwalą się,że posiadają zabezpieczenia,a klientów z vps traktują jak gówno i olewają sprawe o atakach.

Abuse w ovh działa słabo lub wolno.Dlaczego?Osoba atakująca(maszyne ma z ovh) maszyne z serwerem mc(ovh) nie otrzymuje kary za ataki ...

[Misiek08 285]

OVH w VPS ostatnio ma rzeczywiście opinię nieciekawą. Nie używałem ich VPSów od pół roku, ale wtedy było wyśmienicie jak dla mnie.

 

Łącze zwolni do najmniejszej ze wszystkich wartości, które posiadasz, czyli jak masz w mints 25Mbps, a w hosteam 10 to 10Mbps zostaje do użycia. To starczy Ci na jakieś 200 osób online (w porywach, bo raczej mniej przy atakach).

 

Serwer na Windows'ie pod MC to samobójstwo, nawet jeśli to tylko bramka. Sam Windows używa już za dużo zasobów, więc jeśli Twój serwer nie zarabia na siebie x10 to zrezygnuj z Windowsa na rzecz linux'a.

[Marek607 655]

Zastanawia mnie który dostawca jest w stanie zaoferowac taką usługę, tzn serwer beż żadnego filtrowania ruchu.

O ile przy normalnym ruchu żaden dostawca nie blokuje ruchu ( bo i po co), o tyle chyba wszystkie firmy w przypadku ataku mają zaimplementowane automagiczne rozwiązania , czyli w polsce przeważnie BGP Blacholing lub ( np ovh) filtrowanie ruchu przez firewalle.

 

Poprawic mnie jeśli sie myle

[Vasthi 74]

W sumie tego nie da się zrobić(albo da się ale nie zbyt łatwo), próbowałem zrobić proxy na OVH do serwerów na online.net i OVH filtrował strasznie ruch z maszyn z Online.net, na supporcie powiedzieli że ovh nie wyłączy filtrowania na firewallach brzegowych i podczas ataków proxy nie działało.

[Misiek08 285]

@up - bo miałeś serwery lobby w online.net, a przy ataku gdy nie masz własnego proxy przed lub za BC (za to bezsens, ale jak ktoś lubi) to cały ruch idzie do pierwszych serwerów. Dla OVH i online.net to wygląda jak atak DoS, wiec też dobrze, że nie zablokowali serwerów lub konta.

[SchErk 16]

Dobrze :] Dziękujw za odpowiedź

 

Testując tunelowanie z serwera openvz (hosteam) do mojego komputera (internet do 20mb/s- download i 5mb/s ograniczyło mi wysył do 4 i download do 7-8.

 

Podczas gry na serwerze mc [przy uzyciu tunelowania] zmienił mi się adres ip.

 

Wnioskuje po tym, że tunelowanie zadziałało.Wadą jaką napotkałem to problem połaczenia tunelowania z linuxem bez wirtualnego pulpitu, gdyż moja wiedza mi nie pozwala.

 

Zakupując serwer w hosteam.pl z wirtualizacją KVM lub vmware otrzymam [sądze] łącze 100mbits/100 mbit.

Czyli pod serwer minecraft wystarczy.

 

@Misiek

 

Łącze zwolni do najmniejszej ze wszystkich wartości, które posiadasz, czyli jak masz w mints 25Mbps, a w hosteam 10 to 10Mbps zostaje do użycia. To starczy Ci na jakieś 200 osób online (w porywach, bo raczej mniej przy atakach).

 

---

 

Dobrze,ale przez tunelowanie serwer zmieni adres z np. 185.25 na 178.217??

 

Wątpie w ataki na infrastrukturę hosteam.pl, gdyż wszystkie serwery głosowe[publiczne] korzystają z ich usług.

 

@ Zmiana windowsa

 

Mógłbym postawić na wirtualnym pulpicie zainstalowanym na mojej maszynie, ale też zasoby pójdą w góre.

[Bartosz Z 236]

Adres IP serwera MC będzie adresem maszyny, która robi za "wyjście" tunelu (Hosteam).

Do postawienia serwera MC i tunelu nie jest wymagane środowisko graficzne.

[SchErk 16]

@Bartosz

 

Chodziło mi,że tworzę tunelowanie za pomocą otwartego programu putty,gdyż tylko tak umiem je stworzyć :]

[OneDistrict 12]

Ja mam za to wręcz przeciwnie, lobby w OVH w celu odfiltrowania ataku, a reszta w SDC i śmiga to całkiem przyzwoicie

 

A nie jest tak, że po podłączeniu się do serwera gry wskazanego przez te lobby można podsłuchiwać połączenie, które wówczas wykaże adres IP? Zatem nie dostrzegam w tym jakiejś podstawy do ochrony przed atakiem, bo tylko idiota nie potrafiłby tego sprawdzić, a jak powszechnie wiadomo - idiotę nie stać na mocniejszy atak, więc z tym słabszym poradzi sobie Hosteam, SDC, a nawet ATMAN.

[furek 37]

@SchErk

Korzystam od dawna z OVH i nigdy nie miałem problemu z support.

Owszem ma się te problemy jak się wybiera kimsufi czy soyoustart.

 

Jeżeli chodzi zaś o antyddos w ovh działa ona dobrze dla teamspeak jak i innych usług.

 

Możesz się zainteresować load balancer w ovh jest to dość ciekawe i dobre rozwiązanie.

[MaTyyy 2]

 

A nie jest tak, że po podłączeniu się do serwera gry wskazanego przez te lobby można podsłuchiwać połączenie, które wówczas wykaże adres IP? Zatem nie dostrzegam w tym jakiejś podstawy do ochrony przed atakiem, bo tylko idiota nie potrafiłby tego sprawdzić, a jak powszechnie wiadomo - idiotę nie stać na mocniejszy atak, więc z tym słabszym poradzi sobie Hosteam, SDC, a nawet ATMAN.

Nie, bo cały ruch przechodzi przez proxy. Klient nie ma dostępu do fizycznego do serwera w SDC bo wszystkie dane są wysyłane/odbierane z proxy OVH

[OneDistrict 12]

Nie, bo cały ruch przechodzi przez proxy. Klient nie ma dostępu do fizycznego do serwera w SDC bo wszystkie dane są wysyłane/odbierane z proxy OVH

 

To jaki jest sens trzymania serwera gry w Polsce, kiedy cały ruch i tak przechodzi przez OVH, gdzie swoją drogą zasoby są sporo tańsze? Można raczej odpuścić kwestię z ich agresywnym upierdalaniem maszyny za jakiś syf wychodzący, ten problem dotyka głównie maszyny współdzielone, gdzie jest trudna kontrola nad tym, co się dzieje wewnątrz.

[Lokator 137]

Sens - wspieranie naszej gospodarki, o wiele szybszy, lepszy support w przypadku awarii.

[Misiek08 285]

Co do umiejętności stawiania proxy - lepiej wg tutoriala zestawić połączenie na linux'ie, niż sobie utrudniać życie i spowalniać transmisję windows'em.

 

Jakbyś potrzebował pomocy lub szukał kogoś do opieki nad tymi serwerami od strony technicznej to napisz do mnie.