помоему вы господа пытаетесь изобрести велосипед)
вообщем то не панацея но не плохое решение Suricata в режиме ips, защита от более чем 16к уязвимостей в режиме реального времени
...тыц...!
с вашей организацией сети бекенд можно хоть под столом держать все равно выше десятки не прыгнете
а почему вас не устраивает штатная защита от ддос у овх, у них же есть арбор на вооружении. зачем гонять трафик по 2-м 3-м хопам а если считать прокси то в два раза с гаком больше хопов получается на пути к серваку клиента
и насколько я понимаю у вас никакого файловера нет на уровне л7 тобиш весь ваш потенциал защиты заключается в пропускной способности риорея а это всего лиш 10 гбит в сек или 6 млн пакетов, в идеале это былоб 14.5 млн пакетов
открою вам наверное тайну но на тазике из ксеона серии е3 с 8-ми ядрами и с 10-и гиговой картой и используя технологию cuda (mpm-algo: ac-cuda) (nvidia geforce, используется для паралельных вычислений)
можно обработать 14.5 млн пакетов в сек с уникальных ип источника на уровне приложения л7)
и объясните нам пожалуйста почему половина ваших клиентов на данный момент из деад https://www.clustertech.pro/client.html
и зачем использовать такую сложную инфрастуктуру для защиты онлайн игр если будет достаточно и базовой защиты от овх на уровне игрового протокола tcp/udp а если принять во внимание тот факт что у вас все упирается в производительность риорея в 10 гб в сек то вообще ваша зашита кажется весьма призрачной и не конкурентно способной)
и гды вы простите "надыбали" Intel Xeon 2x E5-2697v2 с таким конфигом у овх их точно нет
ovh как я понимаю бекенд у вас?
где фильтруется л7, до гре тунеля или после?
есть варианты до 256 ip на дедик/vps из следующих стран:
czech republic
finland
ireland
lithuania
poland
portugal
united kingdom
поддерживаю!
дело в том что проксмокс поддерживает виртуализацию kvm помимо опенвз и кластеризацию , так пусть использует оську на полную мощь)
как вариант можем предложить перед переездом (когда старый дедик еще не выключен а новая нода уже работает) добавить в кластер новую ноду вместе с его новыми айпишниками и просто мигрировать контейнер) к нам таким образом можно переехать за 10 минут)
