Задача: запутать traceroute

Сейчас идея такая:

Ставится второй сервер где-нибудь на кипре, на него переводится ДНС. С этого сервера поднимается туннель до основного сервера (192.168.0.1 <=> 192.168.0.2), расположенного в Москве. Далее пробрасывать туда порты 80, 443. Единственное, как будет себя вести SSL сертификат? По идее, отследить местонахождение конечного сервера практически нереально. Ну и прикрыть все технические ответы апача, содержащие ip адрес оригинала.

Можно сквид в режиме реверс-прокси на Кипре поставить. Или mod_proxy на апаче там же.

Тоже вариант. Но сдаётся мне спалить прокси по заголовкам можно. Плюс даже если всё почистить, клиент (в силу специфики работы казино) должен иметь persistent соединение.

почему нельзя просто поставить сервер в оффшоре?

Из-за того, что на техплощадке, где находится сам сервер, по сигналу, в любой момент выдергивается жесткий диск и хорошенько обрабатывается молотком. Я даже не представляю как о таком договориться с представителями иностранных компаний.

Зачем молотком. Приклеивается на винт сверху индуктор и через кнопку на 220 вольт.

Вы просто не знаете где поставить =) На островках надо ставить там где все прачечные находятся у нормальных людей. На карибах самое то, договорись с кем нибудь итд.

Ну и поставь туда watchdog с релюшкой на дроссель или на небольшой пиропатрон.

> по сигналу, в любой момент выдергивается жесткий диск и хорошенько обрабатывается молотком

на мой взгляд, эта схема не слишком надёжна, поскольку требует постоянного наличия человека с молотком в состоянии боевой готовности ;) Вообще то имеется специализированное оборудование для этих целей

> Буду благодарен за высказанные вслух мысли на эту тему.

Хочешь мысли вслух!

Я за то, чтобы вам нигде не было покоя.

Всегда и везде!

Людям это не нужно.

Лучше займись более полезной работой, нужной и оплачиваемой.

Что, нет другой работы? Или больше платят?

О! Ви нам будете учить бизнесу?

> на мой взгляд, эта схема не слишком надёжна, поскольку требует постоянного наличия человека с молотком в состоянии боевой готовности ;) Вообще то имеется специализированное оборудование для этих целей

Потому-то и не хочется переносить сам контент забугор. Здесь на площадке, где стоит сервер посменно дежурят по 2 админа. Все тонкости и случаи в которых необходимо произвести вышеописанные операции с молотком обговорены. А насчёт специальных устройств - в любом случае, ничто не сравнится с человеческой бдительностью. Это, кстати, нормальная практика и мои железки не одни такие.

2VPF: Это типичная демагогия. Никто никого не заставляет играть. Мало того, если бы Вы удосужились изучить вопрос, то вы бы узнали, что подавляющее большинство предприятий предоставляют возможность играть просто так (я в том числе), на виртуальные фантики, и только по-настоящему азартные люди готовы подкреплять свои счета деньгами. Плюс куча бонус программ по возврату части проигрыша и так далее. Не стоит обвинять в том, что я играю на человеческих пороках, лучше борись с алкоголе- и табакопроизводителями. Не говоря уже о том что это жесткий оффтоп.

P.S. Так вопрос остаётся открытым - как поведёт себя SSL соединение, если его прокидывать по NAT через туннель?

> Я даже не представляю как о таком договориться с представителями иностранных компаний.

почему бы просто не шифровать информацию на диске и своп? симметричное шифрование делается довольно быстро.

> P.S. Так вопрос остаётся открытым - как поведёт себя SSL соединение, если его прокидывать по NAT через туннель?

при установке сертификата в правильном месте, будет работать. ssl-offload engine так и работают.

> Тоже вариант. Но сдаётся мне спалить прокси по заголовкам можно. Плюс даже если всё почистить, клиент (в силу специфики работы казино) должен иметь persistent соединение.

В общем, сделать можно. Но есть нюансы.

> почему бы просто не шифровать информацию на диске и своп? симметричное шифрование делается довольно быстро.

Прихожу я, представитель ФСБ, в датацентр, вырубаю сервер питанием, клиенту плетём сказки про то что шнур питания задели (абсолютно реальная ситуация в наших ДЦ). Втыкаю винт в мобил-рэк, заражаю ядро. Запускаю сервер, дожидаюсь пока по SSH придёт человек, чтобы ввести пароль и подключить криптованные разделы и своп. Примерно так.

Только если ты готов после первого же ребута заменять сервер на новый, тогда да. :)

Да и всё это уводит в сторону от проблемы. Отследив местонахождение, никто не будет париться с паролями и чтением. Просто снимут проект, а ты потом доказывай, что не верблюд. А спорить с представителями правоохранительных служб бесполезняк. Не говоря уж о том, что offline крайне нежелателен.

> Прихожу я, представитель ФСБ, в датацентр, вырубаю сервер питанием

угу, тут нужен дополнительный контроль целостности какой-нибудь.

> Не говоря уж о том, что offline крайне нежелателен.

тогда держи сервер в оффшоре или в Китае каком-нибудь

В Китае далеко, коннективити на СНГ не очень (хотя на Штаты отличное), да и CNC требует контракт не менее чем на два года, иначе драконовские условия по оплате. Говорю как человек с одним тазиком в Beijing Tongtai IDC of China Netcom.