UDP Proxy Yönlendirme

Question

Merhaba dostlar,
Cloudflare spectrum alternatifi bir hizmet ile tr ip adresini UDP olarak proxyden main ipyi gizleyip yada alternatif yol ile nasıl geçiririz? Cf spectrum var aklımda ama çok tuzlu maalesef.

MainMagnet · Answer

UDPde işler zor ve maliyetli cliente erişim varsa eğer UDPyi TCP içine sokup CDN kullanılabilir veya bir anycast provider bulup UDP forward yapabilirsin socat ya da ngix stream ile aklıma gelenler şu an bunlar işleyişe göre ayarlanabilir

missxecutioner · Answer

MainMagnet adlı üyeden alıntı:						mesajı görüntüle									UDPde işler zor ve maliyetli cliente erişim varsa eğer UDPyi TCP içine sokup CDN kullanılabilir veya bir anycast provider bulup UDP forward yapabilirsin socat ya da ngix stream ile aklıma gelenler şu an bunlar işleyişe göre ayarlanabilir 		Nginx ile tcp üzerinden reverse proxy aklıma geldi bugün aslında ama işe yarar mı acep denemek lazım

MainMagnet · Answer

missxecutioner adlı üyeden alıntı:						mesajı görüntüle									Nginx ile tcp üzerinden reverse proxy aklıma geldi bugün aslında ama işe yarar mı acep denemek lazım 		Konfigrasyona hakimseniz çözüm olur ama önceden yapmadıysanız konfigraysonu gerçekten yorucu olabiliyor DDOS gibi bir sorununuz yoksa test etmek için socat daha mantıklı olur sonrasında Hap ya da Envoy ile daha sağlam bir yapı ayağa kaldırabilirsin knk deli olduğum günleri biliyorum nginx de .d

PFSENSE · Answer

Mimari yapı şu şekilde olmalı

Client
  
 DDoS Protected VPS
  
 GRE Tunnel
  
Origin Server

Client sadece VPS IPsini görür Origin IP tamamen gizli UDP birebir geçer.

Örnek gateway 
ip tunnel add gre1 mode gre remote ORIGIN_IP local GATEWAY_IP ttl 255
ip addr add 10.10.10.1/30 dev gre1
ip link set gre1 up

origin de şöyle olsun

ip tunnel add gre1 mode gre remote GATEWAY_IP local ORIGIN_IP ttl 255
ip addr add 10.10.10.2/30 dev gre1
ip link set gre1 up

routing de şu şekilde örnek 
ip route add CLIENT_SUBNET via 10.10.10.1

Not: GRE tunnel bu iş için gayet geçerli bir çözüm. Ama artılarıeksileri net bilmek önemli  
UDP dahil her şeyi taşır L3 seviyesinde
Kurulumu basit
Overhead düşük  latency iyi
iptables / routing ile tam kontrol sağlayabilirsiniz.
Spectrum gibi IP gizleme  trafik yönlendirme yaparsın bu ikili yapının ortalama maliyeti 1.500 lira civarı tutar. minimum ram ve cpu koruma dahilinde. Mantığı daha da özetlemem gerekirse 1 tane game ddos vps alırsınız  türkiye lokasyon vps gre tunnel yaparsınız.  Burada dikkat etmeniz en önemli kriter datacenter havuzlu koruma almamanız gerekiyor.  Oyun sunucuları için makina önüne konulan fiziki cihazlı satıcılar dan almalısınız. Bazı kişiler bu yapıyı karıştırıyor waf koyarız veya 3 tb korumamız var hayır arkadaşım bunlar işe yaramaz. Flood da düşersiniz. ddos da geçtim.  50 ipden gelen 100 istekle oyun düşer açıkca belirtelim. Bazı oyun koruması satan firmalar 1 gb ramli vps 1.500 tl boşuna satmıyor.

missxecutioner · Answer

Nginxin çıldırttığını biliyorum ya az uğraşmadım zamanında ama socat ile x ipden y ipye udp forward denemedim hiç işten dönünce araştırıp bakmam lazım. Önce bi socat denerim en son ihtimale nginx reverse proxyi bırakırım artık

missxecutioner · Answer

MainMagnet adlı üyeden alıntı:						mesajı görüntüle									Konfigrasyona hakimseniz çözüm olur ama önceden yapmadıysanız konfigraysonu gerçekten yorucu olabiliyor DDOS gibi bir sorununuz yoksa test etmek için socat daha mantıklı olur sonrasında Hap ya da Envoy ile daha sağlam bir yapı ayağa kaldırabilirsin knk deli olduğum günleri biliyorum nginx de .d 								PFSENSE adlı üyeden alıntı:						mesajı görüntüle									Mimari yapı şu şekilde olmalı

Client

DDoS Protected VPS

GRE Tunnel

Origin Server

Client sadece VPS IPsini görür Origin IP tamamen gizli UDP birebir geçer.

Örnek gateway
ip tunnel add gre1 mode gre remote ORIGIN_IP local GATEWAY_IP ttl 255
ip addr add 10.10.10.1/30 dev gre1
ip link set gre1 up

origin de şöyle olsun

ip tunnel add gre1 mode gre remote GATEWAY_IP local ORIGIN_IP ttl 255
ip addr add 10.10.10.2/30 dev gre1
ip link set gre1 up

routing de şu şekilde örnek
ip route add CLIENT_SUBNET via 10.10.10.1

Not: GRE tunnel bu iş için gayet geçerli bir çözüm. Ama artılarıeksileri net bilmek önemli
UDP dahil her şeyi taşır L3 seviyesinde
Kurulumu basit
Overhead düşük latency iyi
iptables / routing ile tam kontrol sağlayabilirsiniz.
Spectrum gibi IP gizleme trafik yönlendirme yaparsın bu ikili yapının ortalama maliyeti 1.500 lira civarı tutar. minimum ram ve cpu koruma dahilinde. Mantığı daha da özetlemem gerekirse 1 tane game ddos vps alırsınız türkiye lokasyon vps gre tunnel yaparsınız. Burada dikkat etmeniz en önemli kriter datacenter havuzlu koruma almamanız gerekiyor. Oyun sunucuları için makina önüne konulan fiziki cihazlı satıcılar dan almalısınız. Bazı kişiler bu yapıyı karıştırıyor waf koyarız veya 3 tb korumamız var hayır arkadaşım bunlar işe yaramaz. Flood da düşersiniz. ddos da geçtim. 50 ipden gelen 100 istekle oyun düşer açıkca belirtelim. Bazı oyun koruması satan firmalar 1 gb ramli vps 1.500 tl boşuna satmıyor. 		Satın aldığımız cihaz simetrik olarak Path tarafına bağlı bu engel olmaz diye düşünüyorum bahsettiğiniz method için
Öneriniz içinde ayrıca teşekkürler

PFSENSE · Answer

nginx konusunda haklısın, UDP tarafında insanı bayağı yoruyor. stream modülü çalışıyor ama stabilite işi tamamen ortama bağlı, o yüzden en sona bırakmak mantıklı.
socat ile x ipden y ipye UDP forward denenebilir, çalışıyor ama tek başına çözüm gibi düşünmemek lazım. test için güzel ama yük ve saldırı altında ne yapacağı biraz muamma. işten sonra kurcalamak iyi fikir.
cihazın simetrik olarak Path tarafına bağlı olması bu yönteme engel olmaz. Path tarafı zaten trafiği temizleyip sana iletiyor, sen de gateway gibi davranmış oluyorsun. burada önemli olan socat/nginxten önce hattın ve cihazın neyi süzdüğü.
benim tecrübemde, iş büyüdükçe bu tarz user-space çözümler bir noktada yetmemeye başlıyor. o aşamada ya kernel seviyesinde forward (iptables / gre) ya da direkt tunnel işine girmek daha stabil oluyor.
yine de önce socat ile denemek en mantıklısı, elin alışır, trafiğin karakterini görürsün. olmazsa nginxi en son ihtimal olarak düşünmek doğru yaklaşım.

MainMagnet · Answer

PFSENSE adlı üyeden alıntı:						mesajı görüntüle									nginx konusunda haklısın, UDP tarafında insanı bayağı yoruyor. stream modülü çalışıyor ama stabilite işi tamamen ortama bağlı, o yüzden en sona bırakmak mantıklı.
socat ile x ipden y ipye UDP forward denenebilir, çalışıyor ama tek başına çözüm gibi düşünmemek lazım. test için güzel ama yük ve saldırı altında ne yapacağı biraz muamma. işten sonra kurcalamak iyi fikir.
cihazın simetrik olarak Path tarafına bağlı olması bu yönteme engel olmaz. Path tarafı zaten trafiği temizleyip sana iletiyor, sen de gateway gibi davranmış oluyorsun. burada önemli olan socat/nginxten önce hattın ve cihazın neyi süzdüğü.
benim tecrübemde, iş büyüdükçe bu tarz user-space çözümler bir noktada yetmemeye başlıyor. o aşamada ya kernel seviyesinde forward (iptables / gre) ya da direkt tunnel işine girmek daha stabil oluyor.
yine de önce socat ile denemek en mantıklısı, elin alışır, trafiğin karakterini görürsün. olmazsa nginxi en son ihtimal olarak düşünmek doğru yaklaşım. 		En sağlamı bu şekilde yaklaşmak zaten sanırım en düşük latency ve yüksek pps de stabiliteyi bir tek bu şekilde koruyabilir ama ne için kullanmak istediğini bilmiyorum bu yüzden bazen socat bile yeterli gelebiliyor

missxecutioner · Answer

MainMagnet adlı üyeden alıntı:						mesajı görüntüle									En sağlamı bu şekilde yaklaşmak zaten sanırım en düşük latency ve yüksek pps de stabiliteyi bir tek bu şekilde koruyabilir 								PFSENSE adlı üyeden alıntı:						mesajı görüntüle									nginx konusunda haklısın, UDP tarafında insanı bayağı yoruyor. stream modülü çalışıyor ama stabilite işi tamamen ortama bağlı, o yüzden en sona bırakmak mantıklı.
socat ile x ipden y ipye UDP forward denenebilir, çalışıyor ama tek başına çözüm gibi düşünmemek lazım. test için güzel ama yük ve saldırı altında ne yapacağı biraz muamma. işten sonra kurcalamak iyi fikir.
cihazın simetrik olarak Path tarafına bağlı olması bu yönteme engel olmaz. Path tarafı zaten trafiği temizleyip sana iletiyor, sen de gateway gibi davranmış oluyorsun. burada önemli olan socat/nginxten önce hattın ve cihazın neyi süzdüğü.
benim tecrübemde, iş büyüdükçe bu tarz user-space çözümler bir noktada yetmemeye başlıyor. o aşamada ya kernel seviyesinde forward (iptables / gre) ya da direkt tunnel işine girmek daha stabil oluyor.
yine de önce socat ile denemek en mantıklısı, elin alışır, trafiğin karakterini görürsün. olmazsa nginxi en son ihtimal olarak düşünmek doğru yaklaşım. 		İş dönüşü deneyeceğim, öneri/tavsiye ve yardımlarınız için teşekkür ederim

PFSENSE · Answer

MainMagnet adlı üyeden alıntı:						mesajı görüntüle									En sağlamı bu şekilde yaklaşmak zaten sanırım en düşük latency ve yüksek pps de stabiliteyi bir tek bu şekilde koruyabilir ama ne için kullanmak istediğini bilmiyorum bu yüzden bazen socat bile yeterli gelebiliyor 		Sizler için Redkitcdn.com için örnek altyapıyı kurarken iki VPSi birleştirdim ve bir CDN mantığı oluşturdum. Bir VPSi origin sunucu olarak kullandım, yani web sitemin asıl içeriklerini barındıran VPS. Diğer VPS ise CDN node olarak görev yapıyor ve kullanıcılar içerikleri buradan alıyor. Bu sayede origin sunucu üzerindeki yük azalıyor ve içerikler kullanıcıya daha hızlı ulaşıyor.
DNS yönetiminde A kaydını CDNin IPsine yönlendirdim ve TTL değerlerini düşük tuttum, böylece IP değişiklikleri hızlıca yansıyor ve trafik her zaman güncel node üzerinden akıyor. Hem origin hem CDN üzerinde Lets Encrypt sertifikaları ile HTTPS aktif, bu sayede veri iletimi baştan sona şifreli.
CDN ile origin arasındaki veri iletişimini hızlandırmak için UDP tabanlı protokoller kullandım. Bu sayede TCPye kıyasla gecikme düşüyor ve paketler daha hızlı iletiliyor. Ayrıca iki VPS arasında yük dengeleme ve otomatik failover sağladım, yani bir node geçici olarak çalışmazsa trafik diğer nodea yönlendiriliyor.
CDN node, statik içerikleri önbelleğe alıyor, böylece origin sunucuya olan istekler azalıyor ve kullanıcılar daha hızlı içerik alıyor. Bu yapı klasik web hostingden farklı olarak yüksek performans, düşük gecikme ve güvenli veri iletimi sağlıyor. İki VPSin koordineli çalışması sayesinde modern bir CDN mantığını simüle etmiş oldum.

missxecutioner · Answer

PFSENSE adlı üyeden alıntı:						mesajı görüntüle									Sizler için Redkitcdn.com için örnek altyapıyı kurarken iki VPSi birleştirdim ve bir CDN mantığı oluşturdum. Bir VPSi origin sunucu olarak kullandım, yani web sitemin asıl içeriklerini barındıran VPS. Diğer VPS ise CDN node olarak görev yapıyor ve kullanıcılar içerikleri buradan alıyor. Bu sayede origin sunucu üzerindeki yük azalıyor ve içerikler kullanıcıya daha hızlı ulaşıyor.
DNS yönetiminde A kaydını CDNin IPsine yönlendirdim ve TTL değerlerini düşük tuttum, böylece IP değişiklikleri hızlıca yansıyor ve trafik her zaman güncel node üzerinden akıyor. Hem origin hem CDN üzerinde Lets Encrypt sertifikaları ile HTTPS aktif, bu sayede veri iletimi baştan sona şifreli.
CDN ile origin arasındaki veri iletişimini hızlandırmak için UDP tabanlı protokoller kullandım. Bu sayede TCPye kıyasla gecikme düşüyor ve paketler daha hızlı iletiliyor. Ayrıca iki VPS arasında yük dengeleme ve otomatik failover sağladım, yani bir node geçici olarak çalışmazsa trafik diğer nodea yönlendiriliyor.
CDN node, statik içerikleri önbelleğe alıyor, böylece origin sunucuya olan istekler azalıyor ve kullanıcılar daha hızlı içerik alıyor. Bu yapı klasik web hostingden farklı olarak yüksek performans, düşük gecikme ve güvenli veri iletimi sağlıyor. İki VPSin koordineli çalışması sayesinde modern bir CDN mantığını simüle etmiş oldum.

Akşam test edemedim ama şimdi bakıyordum da, socat yerine direkt wireguard ile işe girişsem ? GRE Tunnel ile benzer hatta daha iyi şeffaf olur sanırım...

PFSENSE · Answer

missxecutioner adlı üyeden alıntı:						mesajı görüntüle									Akşam test edemedim ama şimdi bakıyordum da, socat yerine direkt wireguard ile işe girişsem ? GRE Tunnel ile benzer hatta daha iyi şeffaf olur sanırım... 		redkitcdn de GRE ile başladım ama SSL/IPSec kısmı bayağı uğraştırdı. WireGuard hem kurulumu kolay hem de daha pratik, ben olsam onu denerdim.  bu arada stabil olarak ilerliyor yük testini bir kaç arkadaşımız yaptı başarılı sonuçlar aldım.

missxecutioner · Answer

PFSENSE adlı üyeden alıntı:						mesajı görüntüle									redkitcdn de GRE ile başladım ama SSL/IPSec kısmı bayağı uğraştırdı. WireGuard hem kurulumu kolay hem de daha pratik, ben olsam onu denerdim. bu arada stabil olarak ilerliyor yük testini bir kaç arkadaşımız yaptı başarılı sonuçlar aldım. 		Wireguard ile uygulamak, socate göre bana da daha mantıklı ve pratik geliyor. 1 saate bi yerden alternatif olarak VPS alıp deniyorum bakalım )