Здравствуйте, имеется VPS в ovh и дедик в другом месте который без anti-ddos. Идея фильтровать и перенаправлять трафик через VPS с OS linux на этот дедик.

Сейчас временно построена VPN сеть с помощью PPTP.
x.x.x.x - внешний адрес VPS на который идет весь трафик;
10.1.0.2 - внутренний ip клиента pptp (remoteip);
10.1.0.1 - внутренний ip сервера pptp (localip);

iptables rules

#для RDP
iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m multiport --dports 3389 -j DNAT --to-destination 10.1.0.2 iptables -t nat -A POSTROUTING -d 10.1.0.2 -p tcp -m multiport --dports 3389 -j SNAT --to-source 10.1.0.1

#для порта игрового сервера
iptables -t nat -A PREROUTING -d x.x.x.x -p udp -m multiport --dports 1154 -j DNAT --to-destination 10.1.0.2 iptables -t nat -A POSTROUTING -d 10.1.0.2 -p udp -m multiport --dports 1154 -j SNAT --to-source 10.1.0.1

В итоге на игровом сервере у всех клиентов (игроков) показывает ip 10.1.0.1. Так NAT и работает - подменяет в заголовках пакета один адрес на другой, поэтому и получается проброс портов и сокрытие внутренней сети от внешнего наблюдателя.

Вопрос: можно ли построить подобный туннель, чтобы на сервере игровом показывались реальные ip адрес источников у игроков?
Нужна помощь и совет в каком направлении смотреть, в unix системах не силен прошу без тонких намеков.
Чем проще , тем лучше. Спасибо.

Здравствуйте, взял выделенный сервер в ovh, но там нет выбор OC windows для установки, хотя в описании к серверу стояли галочка на windows server 2016 Standart. Написал письма в поддержку жду уже больше суток, но сервер нужен срочно в интернете нашел статью про установку windows на такие сервисы легальную (https://joodle.nl/how-to-install-windows-server-2016-on-ovh-kimsufi-or-soyous...).

wget -O- 'https://mirror.joodle.nl/WindowsServer2016Evaluation-Template.gz' | gunzip | dd of=/dev/sda

Все этапы делаю правильно, образ скачивается и распаковывается на устройство /dev/sda успешно, но доступ по RDP так и не появляется несколько раз делал уже. На сервере стоят диски SoftRaid 2x450GB NVMe, скорее всего путь для распаковки /dev/sda не подходит.

root@rescue:~# fdisk -l
Device Boot Start End Sectors Size Id Type

/dev/nvme0n1p1 * 2048 1026047 1024000 500M 7 HPFS/NTFS/exFAT

/dev/nvme0n1p2 1026048 31455231 30429184 14.5G 7 HPFS/NTFS/exFAT

Disk /dev/nvme1n1: 419.2 GiB, 450098159616 bytes, 879097968 sectors

Units: sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disklabel type: gpt

Disk identifier: 7E8131EB-5FA4-44C6-97A1-E74EE29C0B15

Device Start End Sectors Size Type

/dev/nvme1n1p1 2048 1048575 1046528 511M EFI System

/dev/nvme1n1p2 1048576 42006527 40957952 19.5G Linux RAID

/dev/nvme1n1p3 42006528 878039039 836032512 398.7G Linux RAID

/dev/nvme1n1p4 878039040 879085567 1046528 511M Linux swap

Disk /dev/md3: 398.7 GiB, 428048580608 bytes, 836032384 sectors

Units: sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk /dev/md2: 19.5 GiB, 20970405888 bytes, 40957824 sectors

Units: sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Готов заплатить символическую плату $ за помощь в установке, заранее спасибо

Здравствуйте, имеются игровые сервера, обмен между игроком и сервером построен полностью на UDP протоколе. 1111,2222,3333 - игровые порты (3 сервера). Поднят туннель(pptpd) между windows и linux в качестве шлюза используется linux.

123.4.152.14 - IP сервера linux

10.1.0.2 - remoteip windows

10.1.0.1 - localip linux

Правила iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t raw -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t raw -A PREROUTING -i eth0 -p udp -m multiport --dports 1111,2222,3333 -m string --from 26 --to 40 --string «zzz» --algo bm -j DROP
iptables -t raw -A PREROUTING -i eth0 -p udp -m multiport --dports 1111,2222,3333 -m length --length 0:43 -j DROP

iptables -t nat -A POSTROUTING -s 10.1.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -d 123.4.152.14 -p tcp --dport 3389 -j DNAT --to-destination 10.1.0.2
iptables -t nat -A POSTROUTING -d 10.1.0.2 -p tcp --dport 3389 -j SNAT --to-source 10.1.0.1
iptables -t nat -A PREROUTING -d 123.4.152.14 -p udp -m multiport --dports 1111,2222,3333 -j DNAT --to-destination 10.1.0.2
iptables -t nat -A POSTROUTING -d 10.1.0.2 -p udp -m multiport --dports 1111,2222,3333 -j SNAT --to-source 10.1.0.1

Проблема в том, во время ddos когда на правиле по содержимому «zzz» начинает дропаться UDP flood атака. Легитимный трафик входящий с 4mbs, сокращается до 1,2 mbs из-за этого появляются дикие десинхроны играть на сервере невозможно. CPU почти не грузится при атаке, другого флуда нет, только этот. Атака около 50-70k pps.
Может увеличить очередь UDP пакетов можно как-нибудь?

Здравствуйте господа, небольшая предпосылка имеется игровой сервер на Windows Server 2016, имеются открытые UDP порты. В связи с особенностями сетевого стек windows, было решено использовать linux(debian-87-jessie) в качестве шлюза, посредством pptpd был организован тунель.

Атаки разумеется на udp и причем намеренные когда онлайн на серверах набирается бьют на пару секунд, все сервера падают дело сделано атака прекращается. Сила ddos атаки 144.406 packets/s (36 MBit/s), генерируются пакеты с подменой ip и портов, все пакеты с одинаковым содержимым(это выяснено позже логированием tcpdump). Было принято решение блокировать по содержимому пакета(с помошью iptables), в итоге после начала атаки сервер живет пару секунд ,затем связь SSH обрывается. В течении минуты связь появляется т.к ddos прекращается в статистике 24 милиона пакетов в DROP это если первым правилом стоит блок по длине пакета, при блоке 1 правилом по содержимому доходит до 53М DROPA. Неужели такой ddos никак не отбить посредствами linux?

Правила iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -i eth0 -p udp -m multiport --dports 1111,2222,3333 -m string --string «Intel» --algo bm -j DROP
iptables -A FORWARD -i eth0 -p udp -m multiport --dports 1111,2222,3333 -m string --string «Amd» --algo bm -j DROP
iptables -t nat -A POSTROUTING -s 10.1.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -d 180.65.122.12 -p tcp --dport 3389 -j DNAT --to-destination 10.1.0.2
iptables -t nat -A POSTROUTING -d 10.1.0.2 -p tcp --dport 3389 -j SNAT --to-source 10.1.0.1
iptables -t nat -A PREROUTING -d 180.65.122.12 -p udp -m multiport --dports 1111,2222,3333 -j DNAT --to-destination 10.1.0.2
iptables -t nat -A POSTROUTING -d 10.1.0.2 -p udp -m multiport --dports 1111,2222,3333 -j SNAT --to-source 10.1.0.1

P.S: Дедик i7 3770, 1GB канал