UDP Proxy Yönlendirme

Merhaba dostlar,
Cloudflare spectrum alternatifi bir hizmet ile tr ip adresini UDP olarak proxyden main ipyi gizleyip yada alternatif yol ile nasıl geçiririz? Cf spectrum var aklımda ama çok tuzlu maalesef.

UDP’de işler zor ve maliyetli client’e erişim varsa eğer UDP’yi TCP içine sokup CDN kullanılabilir veya bir anycast provider bulup UDP forward yapabilirsin socat ya da ngix stream ile aklıma gelenler şu an bunlar işleyişe göre ayarlanabilir

Nginx ile tcp üzerinden reverse proxy aklıma geldi bugün aslında ama işe yarar mı acep denemek lazım

Konfigrasyona hakimseniz çözüm olur ama önceden yapmadıysanız konfigraysonu gerçekten yorucu olabiliyor DDOS gibi bir sorununuz yoksa test etmek için socat daha mantıklı olur sonrasında Hap ya da Envoy ile daha sağlam bir yapı ayağa kaldırabilirsin knk deli olduğum günleri biliyorum nginx de .d

Mimari yapı şu şekilde olmalı


Client

DDoS Protected VPS

GRE Tunnel

Origin Server


Client sadece VPS IP’sini görür Origin IP tamamen gizli UDP birebir geçer.

Örnek gateway
ip tunnel add gre1 mode gre remote ORIGIN_IP local GATEWAY_IP ttl 255
ip addr add 10.10.10.1/30 dev gre1
ip link set gre1 up

origin de şöyle olsun


ip tunnel add gre1 mode gre remote GATEWAY_IP local ORIGIN_IP ttl 255
ip addr add 10.10.10.2/30 dev gre1
ip link set gre1 up

routing de şu şekilde örnek
ip route add CLIENT_SUBNET via 10.10.10.1

Not: GRE tunnel bu iş için gayet geçerli bir çözüm. Ama artıları–eksileri net bilmek önemli
UDP dahil her şeyi taşır L3 seviyesinde
Kurulumu basit
Overhead düşük latency iyi
iptables / routing ile tam kontrol sağlayabilirsiniz.
Spectrum gibi IP gizleme trafik yönlendirme yaparsın bu ikili yapının ortalama maliyeti 1.500 lira civarı tutar. minimum ram ve cpu koruma dahilinde. Mantığı daha da özetlemem gerekirse 1 tane game ddos vps alırsınız türkiye lokasyon vps gre tunnel yaparsınız. Burada dikkat etmeniz en önemli kriter datacenter havuzlu koruma almamanız gerekiyor. Oyun sunucuları için makina önüne konulan fiziki cihazlı satıcılar dan almalısınız. Bazı kişiler bu yapıyı karıştırıyor waf koyarız veya 3 tb korumamız var hayır arkadaşım bunlar işe yaramaz. Flood da düşersiniz. ddos da geçtim. 50 ipden gelen 100 istekle oyun düşer açıkca belirtelim. Bazı oyun koruması satan firmalar 1 gb ramli vps 1.500 tl boşuna satmıyor.

Nginxin çıldırttığını biliyorum ya az uğraşmadım zamanında ama socat ile x ipden y ipye udp forward denemedim hiç işten dönünce araştırıp bakmam lazım. Önce bi socat denerim en son ihtimale nginx reverse proxyi bırakırım artık

Satın aldığımız cihaz simetrik olarak Path tarafına bağlı bu engel olmaz diye düşünüyorum bahsettiğiniz method için…
Öneriniz içinde ayrıca teşekkürler

nginx konusunda haklısın, UDP tarafında insanı bayağı yoruyor. stream modülü çalışıyor ama stabilite işi tamamen ortama bağlı, o yüzden en sona bırakmak mantıklı.
socat ile x ip’den y ip’ye UDP forward denenebilir, çalışıyor ama tek başına çözüm gibi düşünmemek lazım. test için güzel ama yük ve saldırı altında ne yapacağı biraz muamma. işten sonra kurcalamak iyi fikir.
cihazın simetrik olarak Path tarafına bağlı olması bu yönteme engel olmaz. Path tarafı zaten trafiği temizleyip sana iletiyor, sen de gateway gibi davranmış oluyorsun. burada önemli olan socat/nginx’ten önce hattın ve cihazın neyi süzdüğü.
benim tecrübemde, iş büyüdükçe bu tarz user-space çözümler bir noktada yetmemeye başlıyor. o aşamada ya kernel seviyesinde forward (iptables / gre) ya da direkt tunnel işine girmek daha stabil oluyor.
yine de önce socat ile denemek en mantıklısı, elin alışır, trafiğin karakterini görürsün. olmazsa nginx’i en son ihtimal olarak düşünmek doğru yaklaşım.

En sağlamı bu şekilde yaklaşmak zaten sanırım en düşük latency ve yüksek pps de stabiliteyi bir tek bu şekilde koruyabilir ama ne için kullanmak istediğini bilmiyorum bu yüzden bazen socat bile yeterli gelebiliyor