Защита от DDoS. Проксирование трафика. Чем и как?

Каким образом перенаправлять трафик порта 7777 с первого сервера на порт 777 второго сервера.

http://lmgtfy.com/?q=proxy with iptables

И т.д

что ты имеешь в виду под итд?

А мне чашечку чая, 2 ложечки сахара.

Просьба не посылать сделать самому и так далее, а конеретно принести чай, т.е. вода, чай и т.д.

Гугл дал ссылки на вопросы про IpTables + Squid. А он лишь для HTTP и FTP. А мне нужно проксирование всего (любого) трафика на с нужного порта на другой сервер с этим-же портом.

Под и т.д имею ввиду и другие порты. То есть что бы можно было перенастроить на 3306, 2106 и другие.

Хм, не учёл что у тебя в гугле другая выдача будет.

Вот так тебе нужно сделать: http://www.debian-administration.org/articles/595

У тебя tcp трафик на нескольких портах? Тогда добавь несколько правил.

Спасибо большое) Очень глупый вопрос, но где в дебиане находятся правила iptables?

Имею ввиду файл примерно такого содержания: что-то перед :INPUT ACCEPT [340:23340] :FORWARD ACCEPT [3:144] :OUTPUT ACCEPT [342:67060] COMMIT и что-то после

а это не глупый вопрос, его там тупо нет. Но его несложно добавить: http://wiki.debian.org/iptables

Вообщем не стал это делать)) Очистил правила iptables с помощью: http://melfis.ru/сброс-правил-фаервола-iptables/

Затем выполнил команду: iptables -t nat -A PREROUTING --dst цифры.цифры.104.206 -p tcp --dport 3306 -j DNAT --to-destination цифры.цифры.90.198:3306

Все хорошо, без проблем. Но когда подключаюсь к 3306 порту через Navicat (mysql клиент), то через некоторое время бьет ошибку соединения с mysql. Хотя если соединяться напрямую к цифры.цифры.90.198:3306, то все отлично

ммм, тут либо крутить tcp keepalive, либо увеличивать таймауты на фаерволе через какой-нить net.ipv4.netfilter.ip_conntrack_tcp_timeout_established

BTW, если планируешь пускать много соединений то почитай http://www.cyberciti.biz/faq/ip_conntrack-table-ful-dropping-packet-error/

ip_conntrack вообще вроде-бы нету...

root@srv:~# modprobe ip_conntrack FATAL: Could not load /lib/modules/2.6.32-042stab061.2/modules.dep: No such file or directory

Будем гуглить))

Просто это VDS на OpenVZ... Решение вроде нашел, будем пробовать

Тут не грех саппорт напрячь, они быстро ответ подскажут т.к. проблема типовая

Поставил на выделенный сервер. Там уже все отлично. morprobe ip_conntrack ничего не выдает. То есть все отлично.

iptables -t nat -A PREROUTING --dst оп.оп.90.198 -p tcp --dport 3386 -j DNAT --to-destination оп.оп.248.12:3306

3386 порт, потому-что 3306 занят mysql'ом уже))

При коннекте на оп.оп.90.186:3386 происходит ошибка коннекта к mysql...

В чем же проблема?

Вот это сделал? echo 1 > /proc/sys/net/ipv4/ip_forward

Сделал, не помогло.

server:~# sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1

я думаю там есть другие правила которые конфликтуют с этим.

Правил нету. Пустой IpTables.

server:~# iptables-save # Generated by iptables-save v1.4.8 on Fri Jan 25 12:02:31 2013 *filter :INPUT ACCEPT [941452:157871712] :FORWARD ACCEPT [3:144] :OUTPUT ACCEPT [678855:206178816] -A INPUT -p tcp -m tcp --dport 3386 -j ACCEPT COMMIT # Completed on Fri Jan 25 12:02:31 2013 # Generated by iptables-save v1.4.8 on Fri Jan 25 12:02:31 2013 *nat :PREROUTING ACCEPT [35525:5469325] :POSTROUTING ACCEPT [3050:221219] :OUTPUT ACCEPT [3049:221171] -A PREROUTING -d трололо.138.трололо.198/32 -p tcp -m tcp --dport 3386 -j DNAT --to-desti nation трололо.трололо.248.12:3306 COMMIT # Completed on Fri Jan 25 12:02:31 2013 server:~#

посмотри снифером - хоть что-нить до второго сервера доходит?

Коннекты не доходят до конечного сервера.

http://i.shotnes.com/a/27/lsjj30sc.por_5104d2ee92016.png Верхнее окошко - конечный сервер. Нижнее - начальный (на котором проксирование)

Попробуй убрать -A INPUT -p tcp -m tcp --dport 3386 -j ACCEPT, это лишнее, хотя, вроде, вредить не должно.

Когда правила не работают обычно две проблемы:

1) ты перепутал адреса или допустил мелкую опечатку.

2) перепутал интерфейсы если их много. В частности легко забыть указать tcpdump на каком интерфейсе слушать трафик

В общем, перепроверь адреса и интерфесы. Вот на верхнем сервере venet0 это внешний интерфейс?