Насчет блокировок уточню момент, который, возможно, упустили: бан обратного прокси прилетал вовсе не из-за нагрузок или «шума» соседям. Сервер был абсолютно пустой, без паразитного трафика, смотрел на тестовый бекенд. 10–15 минут аптайма — и доступ пропадает. Это чистый фингерпринтинг со стороны ТСПУ, режут именно по паттернам трафика, а не по объему. (сам сервер доступен, а вот любые попытки отследить самое проксирование, обрубать начинает на моментне переброса на origin)
Мысль про то, что ТСПУ де-факто стал «бесплатным фаерволом» от внешнего мира, отсекая L3/L4 атаки из-за рубежа — действительно интересная, особенно тем, что внутри страны, можно просто даже не думать про l3 l4
По поводу железа и VPS. Я не против дедиков, но EU-сегмент выбираю из прагматичных соображений. Там за условные 15 евро я получаю свежее железо, которое в РФ хостеры пока массово предложить не могут (или ценник будет х3, те же timeweb вовсе продают железки 15-ти летней давности, с забитыми нодами). Например, кусочек такого конфига: Processor: AMD EPYC 9655 (96-Core) RAM: DDR5 (16 GiB) (15 евро)
Для моих задач распределенная сеть из таких быстрых нод в разных локациях эффективнее и дешевле, чем один большой сервер (просто под текущие задачи, это эффективнее). Тут вопрос архитектуры: не всегда нужно владеть всем железом, ну или как минимум это становится дорже, накладнее
Касательно «разных интернетов»: пока мы работаем по общим протоколам, сеть формально едина. Но, глядя на тенденции, соглашусь — это активно шатают)
В реальности у меня более 70% аудитории уже сидит под VPN/RDP. Но как бизнес мы не можем просто отмахнуться от оставшихся 30% «не очень продвинутых, ленивых», поэтому и ищем решения. Тестировали связку: Safeline WAF -> Origin (под прикрытием CrowdSec). Работает отлично, но, как писал выше, наши ТСПУ такие «самодельные» прокси не одобряют. Пришлось откатиться на прямой Origin, рассчитывая, что апстрим (в данном случае LWLcom) сам погасит хотя бы L3/L4))
Делать зеркало, крайне сомнительная история. Тогда уж дробить бизнес, строго на ru направление с отдельным доменом, новым имененм и пр. Хотя честно говоря история сомнительная
Насчет L7, L7 я и сам себе могу организовать, это не такая большая проблема. Меня в первую очередь беспокоили L3-L4. Потому что даже собственный прокси эти *** банят
Если вы поднимите отдельный vps, и сделаете даже простой nginx\traefik прокси, или даже чуть более грамотно с safaline WAF, проходит 10-15 минут и «вдруг» ваш ip прокси больше недоступен через РФ.
Логи чистые, всё указывает, что это ТСПУ блокировка
Не могу не согласится, что посредники, особенно у нас, преджлагают крайне сомнительные условия и сами услуги)
Однако если взять массового пользователя, что не может себе позволить (чаще всего ему не нужно) покупку\аренду целого сервера, они покупают vps, где часто грешат не только овеселом, кидая на ноду топлы народа, но и вовсе не занимаясь инфстрактурой защиты канала и работа выходимт так:
— У вас большой трафик?
— Отлично, мы вас баним, решайте свои вопросы сами
Часто хостеры прямо говорят, что вы должны сами озаботиться защитой от l3 l4
Вероятно поэтому многие и использовали CF\Bunny и пр провайдеров
Могли бы уточнить «реестра РФ и ТСПУ на магистралах» как это появиляло на их бизнес, не совсем уверен, что понял вас? (дело в том, в том что они теряют клиентов на фоне ухода компаний и\или еще и то, что трафик фильтруют за них и в них все меньше надобности)
Лично для меня, пока самая большая боль, это блокировки современных протоколов, что как по мне в будущем может привести к совсем неприятных ситуациям…
Вижу, ваши основые сервисы работают в OVH. Вам хватает той l3 l4 защиты, что они предоставляют из коробки? (Вроде бы у них она крайне серьезная)
Однако вопрос в другом, что вы делаете с тем, что для ру юзеров, ресурсы недоступны, будь то ип заблочен или тспу блокирует протоколы, что используются в нормальбном мире, tlc 1.3 например
Проксирование своего реального ИП, сейчас тоже не очень живое, CF понятно мертв, bunny не отключает tlc 1.3, gcore тоже не работает. Даже поднимая свой сервер и проксируя трафик за ним, очень быстро обрывают соединение, вероятно смотрят патерн и блочат
Для ваших ресурсов, это вероятно не такая проблема т.к пользователь знает, как зайти) А вот что делать другим проектам) Покупать дорогущие обрезки в виде DDosGuard за много денег?) Сложно найти хорошее решение с качественной, хотя бы базовой защитой l3 l4 (Ну или прятать свой ип)
После блокировки youtube (замедления) спрос на такие сервера выросли просто невероятно, и спустя пару дней vdsina выделила этот тариф в отдельную линейку
Старый vps заметно начал проседать пол качеству соединения и скорости, а если брать этот же тариф как новый vps всё оказалось еще хуже)
Цена конечно смешная и претензий за такие деньги нет, но стоит учитывать качество серверов с таким то спросом)
p.s vdsina с самого начала событий 22 года, любила высказываться в email письмах на разные темы)
Цены на продукты выглядят какими-то не реалистичными, сразу в голове вопрос про качество или некий «подвох») даже если это временное промо, на поиск клиентов
Так же вопрос с пополнением, почему пополнение 5$ даже на направлении криптовалюты «Cryptomus»? Выглядит очень странно, я бы приобрел сервер на сутки для теста.
Но даже при успешном тесте, сильно бы опосался размещать у вас серьезный продукт :(
p.s Если это промо, то очень спорное, любители халявы после повышения цен или изменения тарифов не будут готовы платить больше
А как оцениваете сам проект в сравнении с serverspace? Спрашиваю т.к CLO выходит дешевле и не очень понимаю за счет чего (если конечно не откровенная экономия)
В слою очередь serverspace повышает цены на 15%)
Мысль про то, что ТСПУ де-факто стал «бесплатным фаерволом» от внешнего мира, отсекая L3/L4 атаки из-за рубежа — действительно интересная, особенно тем, что внутри страны, можно просто даже не думать про l3 l4
По поводу железа и VPS. Я не против дедиков, но EU-сегмент выбираю из прагматичных соображений. Там за условные 15 евро я получаю свежее железо, которое в РФ хостеры пока массово предложить не могут (или ценник будет х3, те же timeweb вовсе продают железки 15-ти летней давности, с забитыми нодами). Например, кусочек такого конфига: Processor: AMD EPYC 9655 (96-Core) RAM: DDR5 (16 GiB) (15 евро)
Для моих задач распределенная сеть из таких быстрых нод в разных локациях эффективнее и дешевле, чем один большой сервер (просто под текущие задачи, это эффективнее). Тут вопрос архитектуры: не всегда нужно владеть всем железом, ну или как минимум это становится дорже, накладнее
Касательно «разных интернетов»: пока мы работаем по общим протоколам, сеть формально едина. Но, глядя на тенденции, соглашусь — это активно шатают)
В реальности у меня более 70% аудитории уже сидит под VPN/RDP. Но как бизнес мы не можем просто отмахнуться от оставшихся 30% «не очень продвинутых, ленивых», поэтому и ищем решения. Тестировали связку: Safeline WAF -> Origin (под прикрытием CrowdSec). Работает отлично, но, как писал выше, наши ТСПУ такие «самодельные» прокси не одобряют. Пришлось откатиться на прямой Origin, рассчитывая, что апстрим (в данном случае LWLcom) сам погасит хотя бы L3/L4))
Насчет L7, L7 я и сам себе могу организовать, это не такая большая проблема. Меня в первую очередь беспокоили L3-L4. Потому что даже собственный прокси эти *** банят
Если вы поднимите отдельный vps, и сделаете даже простой nginx\traefik прокси, или даже чуть более грамотно с safaline WAF, проходит 10-15 минут и «вдруг» ваш ip прокси больше недоступен через РФ.
Логи чистые, всё указывает, что это ТСПУ блокировка
Однако если взять массового пользователя, что не может себе позволить (чаще всего ему не нужно) покупку\аренду целого сервера, они покупают vps, где часто грешат не только овеселом, кидая на ноду топлы народа, но и вовсе не занимаясь инфстрактурой защиты канала и работа выходимт так:
— У вас большой трафик?
— Отлично, мы вас баним, решайте свои вопросы сами
Часто хостеры прямо говорят, что вы должны сами озаботиться защитой от l3 l4
Вероятно поэтому многие и использовали CF\Bunny и пр провайдеров
Могли бы уточнить «реестра РФ и ТСПУ на магистралах» как это появиляло на их бизнес, не совсем уверен, что понял вас? (дело в том, в том что они теряют клиентов на фоне ухода компаний и\или еще и то, что трафик фильтруют за них и в них все меньше надобности)
Лично для меня, пока самая большая боль, это блокировки современных протоколов, что как по мне в будущем может привести к совсем неприятных ситуациям…
Однако вопрос в другом, что вы делаете с тем, что для ру юзеров, ресурсы недоступны, будь то ип заблочен или тспу блокирует протоколы, что используются в нормальбном мире, tlc 1.3 например
Проксирование своего реального ИП, сейчас тоже не очень живое, CF понятно мертв, bunny не отключает tlc 1.3, gcore тоже не работает. Даже поднимая свой сервер и проксируя трафик за ним, очень быстро обрывают соединение, вероятно смотрят патерн и блочат
Для ваших ресурсов, это вероятно не такая проблема т.к пользователь знает, как зайти) А вот что делать другим проектам) Покупать дорогущие обрезки в виде DDosGuard за много денег?) Сложно найти хорошее решение с качественной, хотя бы базовой защитой l3 l4 (Ну или прятать свой ип)
Спасибо за столь щедрую акцию, надеюсь на долгое и продуктивное сотрудничество :)
Старый vps заметно начал проседать пол качеству соединения и скорости, а если брать этот же тариф как новый vps всё оказалось еще хуже)
Цена конечно смешная и претензий за такие деньги нет, но стоит учитывать качество серверов с таким то спросом)
p.s vdsina с самого начала событий 22 года, любила высказываться в email письмах на разные темы)
Location: Russia, Moscow (Moscow)
ASN & ISP: AS215730, H2nexus LTD / H2nexus LTD
В описании указан как: Datacenter.com AMS1
185.125.50.0/24
Так же вопрос с пополнением, почему пополнение 5$ даже на направлении криптовалюты «Cryptomus»? Выглядит очень странно, я бы приобрел сервер на сутки для теста.
Но даже при успешном тесте, сильно бы опосался размещать у вас серьезный продукт :(
p.s Если это промо, то очень спорное, любители халявы после повышения цен или изменения тарифов не будут готовы платить больше
В слою очередь serverspace повышает цены на 15%)