tocdepth

2

Защита TCP/UDP трафика

Область применения: приложения, принимающие TCP/UDP-соединения по фиксированному порту, платформа Облако VMware.

Защита TCP/UDP-трафика в целом повторяет схему Reverse Proxy без раскрытия сертификатов:

Если защищаемое приложение не поддерживает Proxy Protocol, то необходимо активировать режим Raw Proxy. Однако в данном случае отсутствует возможность получения реальных IP-адресов пользователя.

Для перенаправления трафика на систему очистки необходимо:

1. Заказать необходимое количество IP-адресов сервиса защиты (ddos_provider_ip).

2. Заказать IP-адреса, выделенные под систему защиты (protected_real_ip) и опубликовать защищаемые ресурсы в эти адреса.

3. В личном кабинете сервиса защиты настроить upstream-адрес, указывающий на адрес защищаемого ресурса в Cloud.ru (protected_real_ip).

4. (для QRator):

   • при поддержке приложением Proxy Protocol настроить приложение, чтобы оно принимало запросы по Proxy Protocol;

   • если защищаемое приложение не поддерживает Proxy Protocol, то необходимо активировать режим Raw Proxy через службу технической поддержки;

5. Изменить A-записи в DNS для защищаемых доменов на полученные адреса сервиса защиты.

6. (для QRator) На пограничном шлюзе платформы Cloud.ru (edge gateway на платформе Облако VMware) настроить ограничение доступа к защищаемому ресурсу только с IP-адресов сервиса защиты. Список IP-адресов необходимо уточнить в личном кабинете сервиса защиты.

Также важно помнить, что после обновления A-записи изменения проявляются не моментально, а в течении времени, указанном как TTL для A-записи (в секундах).

Была ли статья полезной?

Да Нет

Предыдущая статья

Защита веб-сайта без раскрытия сертификатов

Следующая статья

Защита IP адреса

Запустили Evolution free tier
для Dev & Test

Получить