Здравствуйте, нужна ваша помощь(подсказка). Имею 2 Linux сервера с осью (1)Ubuntu 16 & (2)Debian 8.10. Собственно мне нужно обезопасить 2й сервер, что бы по крайней мере не было на него флуды и ddos.
Прокидываю трафик таким вот образом:
$IPTABLES -t nat -A PREROUTING -d $LO_IP -p tcp -m tcp --dport 8000 -j DNAT --to-destination $SERVER_IP2:8000
$IPTABLES -A FORWARD -d $SERVER_IP2 -p tcp --dport 8000 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -d $SERVER_IP2 -p tcp --dport 8000 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -d $SERVER_IP2 -p tcp -m tcp --dport 8000 -j SNAT --to-source $LO_IP
$IPTABLES -t nat -A OUTPUT -d $LO_IP -p tcp -m tcp --dport 8000 -j DNAT --to-destination $SERVER_IP2
Где $LO_IP например с ip 1.1.1.1, $SERVER_IP2 с ip 2.2.2.2.
Схема в принципе работает, но когда пользователь переходит по порту 8000, его IP адрес заменяется на 1.1.1.1 сервера-1.
Как можно реализовать так, что бы сохранялся source ip пользователя на сервере 2.2.2.2 ?
P.S завел vpn тунель ip-ip, пробовал реализовать такую же схему - но тщетно.
Сервера в интернете, локалки меж собой не имеют.
