แแแแแแ แแแ, แแแแแ แฏแแแ!
แกแแฎแแแแแ แแคแแกแแก แกแแแฃแจแแ แกแแแ แชแแกแแแ แแแกแแแแแจแแ แแแแแ แแ แแแแแ แแแ แแ แกแแแแแก. แแ แ-แแ แแ แแแแแแแแ Microsoft Remote Desktop Gateway-แแก แแแแแงแแแแแ. แแก แแ แแก RDP HTTP-แแ. แแ แแแแแ แจแแแแฎแ แแฅ แแแแแ RDGW-แแก แแแงแแแแแแก, แแ แแแแแ แแแแแแฎแแแ, แ แแขแแ แแ แแก แแก แแแ แแ แแ แชแฃแแ, แแแแ แแแแฎแแแแ แแแก, แ แแแแ แช แแแกแขแแแชแแฃแ แ แฌแแแแแแก แแ แ-แแ แ แฎแแแกแแฌแงแแก. แแกแฃแ แก แแแกแแฃแแ แ แแฅแแแแ RDGW แกแแ แแแ แแก แแแชแแแแ แแแ แแขแ แแแขแแ แแแขแแกแแแ. แ แแแแกแแช แแแแแงแแแ RDGW แกแแ แแแ แ, แแแจแแแแ แแแแแแขแแ แแกแแ แฃแกแแคแ แแฎแแแแแแ, แแแแกแแแฃแแ แแแแ แแแ แแแแก แฃแฎแแจแ แซแแแแกแแแ แแแชแแแแ. แแแแแแแแ แแ, แ แแ แแแขแแ แแแขแจแ แแแ แแแแแแ แกแขแแขแแแแ แแแแก แจแแกแแฎแแ, แแฃ แ แแแแ แฃแแแ แแแแแแแแ แแก. แแแ แแ, แจแแ แแแแแแ แแแแแฌแแแก แแแแก แแแแแแแแ.
แแแแแ RDGW-แก แแ แแฅแแก แแ แแแแแ แ แแแชแแ. แแแแฎ, แแก แจแแแซแแแแ แแแแแแแแแแแก แจแแจแแแแ แแแขแแ แคแแแกแแ แแแแ แฅแกแแแจแ แแ แแก แแจแแแแแแ แแ แแแฃแจแแแแแก. แแแแ แแ แแก แจแแแฌแฃแฎแแแก แจแแกแแแแแแก แแแแแแแกแขแ แแขแแ แก แแ แแแคแแ แแแชแแฃแแ แฃแกแแคแ แแฎแแแแแก แกแแแชแแแแแกแขแก. แแแ แแ แแแแกแ, แแก แกแแจแฃแแแแแแก แแแแชแแแ แแแแแแแ แแแชแแแแ แแแแแ แแจแแก แแแแแแแแแก แกแแขแฃแแชแแ, แ แแแแกแแช แฃแงแฃแ แแแฆแแแ แแแแแแจแ แแแแแแ แแแแแแฎแกแแแ แ แแแ แแแ แแขแแฃแแ แแแแแ แแจแแก แแแ แแแ แกแแฎแแแก แแแแแแฃแขแแ แแ, แจแแแแแ แแ แจแแชแแแแ แแแ แแแ.
แจแแแ แ แแกแฃแ แกแแแแก แแแ แ แแแ แแแแกแแแ แแแชแแแก แแแ แแ แแแแ แกแฎแแแแแกแฎแแ แแ แแฅแกแ, แกแแแแแแแชแแแแ แกแแกแขแแแแแ แแ แกแฎแแ WAF-แแแ. แแแแแฎแกแแแแ, แ แแ RDGW แฏแแ แแแแแ http แแ แแก, แแแจแแ แแก แฃแแ แแแแ แแแแแฎแแแก แกแแแชแแแแแแแแฃแแ แแแแแฌแงแแแขแแก แจแแแ แแแแแก แจแแแ แกแแ แแแ แแแกแ แแ แแแขแแ แแแขแก แจแแ แแก.
แแ แแแชแ แ แแ แแ แแก แแแแแ แ F5, A10, Netscaler(ADC). แ แแแแ แช แแ แ-แแ แแ แแ แกแแกแขแแแแก แแแแแแแกแขแ แแขแแ แ, แแ แแแขแงแแ, แ แแ แแกแแแ แจแแกแแซแแแแแแแ แแ แกแแกแขแแแแแแ แฃแฎแแจแ แซแแแแกแแแ แแแชแแแก แแแงแแแแแ. แแแแฎ, แแก แกแแกแขแแแแแ แแกแแแ แแแแแชแแแ แแแแแกแแแแ แ แกแแแฏแแก แฌแงแแแแแแแแแกแแแ.
แแแแ แแ แงแแแแ แแแแแแแแแก แแ แจแแฃแซแแแ แจแแแซแแแแก แแกแแแ แแแแแฌแงแแแขแ (แแ แแแซแแแแแก แแแแแแแกแขแ แแขแแ แ แแกแแแ แกแแกแขแแแแกแแแแก :), แแแแ แแ แแแแแ แแ แแก แแแ แจแแฃแซแแแแ แแแ แฃแแแ แฃแกแแคแ แแฎแแแแแแ!
แกแ แฃแแแแ แจแแกแแซแแแแแแแ HAProxy-แแก แฃแคแแกแ แแแ แกแแแก แแแงแแแแแ แฃแคแแกแ แแแแ แแชแแฃแ แกแแกแขแแแแแ. แแ แแแแแแชแแแ Debian 10, แฐแแแ แแฅแกแ แแแ แกแแ 1.8.19 แกแขแแแแแฃแ แกแแชแแแจแ. แแ แแกแแแ แแแแแแชแแแ แแก 2.0.xx แแแ แกแแแแ แขแแกแขแแ แแแแก แกแแชแแแแแแ.
แแแแแ แแแแแแแแก แแแงแแแแแแก แแ แกแขแแขแแแก แคแแ แแแแแก แแแ แแ แแแแขแแแแแ. แแแแแแ: แแแแ แแแขแแ แคแแแกแแ แแแฎแฃแ แแ แงแแแแแคแแ แ แแแ แขแแก 443-แแก แแแ แแ, แแแชแ แแกแคแแ แแแขแแ แคแแแกแแ - แแฅแแแแ แแแแแขแแแแก แแแฎแแแแแ, แแแแแแแแแ, แแกแแแ แแแฎแฃแ แแ แงแแแแแคแแ แ แแแ แแ แแแ แขแแกแ 22-แแกแ. แแแฎแกแแแแ แแฎแแแแ แแก, แ แแช แกแแญแแ แแ แกแแแฃแจแแแกแแแแก (แแแแแแแแแ, VRRP, แแชแฃแ แแแ IP-แกแแแแก).
แฃแแแ แแแแแก แงแแแแแกแ, แแ แแแแแงแแแ แฐแแแ แแฅแกแ SSL แฎแแแแก แ แแแแแจแ (aka http แ แแแแแ) แแ แฉแแแ แแ แจแแกแแแ, แ แแ แแแแแฎแ แ แ แฎแแแแแแ RDP-แจแ. แแกแ แแแฅแแแ, แจแฃแแจแ แแแแฎแแแ. แแกแ แ แแ, RDGateway-แแก แแแงแแแแแแก โแงแแแแโ แกแขแแขแแแจแ แแแแแแแแฃแแ /RDWeb แแแ แแแแแ. แงแแแแแคแแ แ แ แแช แแ แกแแแแแก แแ แแก /rpc/rpcproxy.dll แแ /remoteDesktopGateway/. แแ แจแแแแฎแแแแแจแ, แกแขแแแแแ แขแฃแแ GET/POST แแแแฎแแแแแแ แแ แแแแแแงแแแแแ; แแแแแแงแแแแแ แแแแฎแแแแแก แกแแแฃแแแ แ แขแแแ RDG_IN_DATA, RDG_OUT_DATA.
แแแแ แ แแ แ, แแแแ แแ แแแแแช แ แแฆแแช.
แแแแ แแแแแแชแแแแ.
แแแแฃแจแแ mstsc, แแแแแแแแ แกแแ แแแ แแ, แแแแฎแแ แแแฎ 401 (แแ แแแแขแแ แแแแแฃแ) แจแแชแแแแแก แแฃแ แแแแแแจแ, แจแแแแแ แจแแแแงแแแ แฉแแแก แแแแฎแแแ แแแแแก แกแแฎแแแก/แแแ แแแก แแ แแแแฎแแ แแแกแฃแฎแก 200.
แแแแจแแ, แแแแแแแ แแแฌแงแแ แแ แแแแแแแแจแ แแฎแแแแ แแแแแ แแแฎ 401 แจแแชแแแแแก. แจแแแแงแแแ แแ แแกแฌแแ แแแแแ/แแแ แแแก แแ แแกแแ แแแแฎแแ แแแฎ 401 แจแแชแแแแแก, แแก แแ แแก แแก, แ แแช แแญแแ แแแแ. แแ แแแแก แแแแแญแแ แ.
แแแแแแแแ แจแแฃแซแแแแแแ แแงแ แจแแกแแแแก url-แแก แแแแแแแ แแ แแแ แแ แแแแกแ, แแ แแแชแ แ แแแแ แแแแแญแแ แ 401 แจแแชแแแแ แฐแแแ แแฅแกแแจแ, แแแแแญแแ (แแ แ แ แแแแฃแ แแ แแแแแญแแ , แแแแ แแ แแแแแแแ) แงแแแแ 4xx แจแแชแแแแแก. แแกแแแ แจแแกแแคแแ แแกแแ แแ แแแแแแแก แแแแแกแแญแ แแแแ.
แแแชแแแก แแ แกแ แแฅแแแแ แแก, แ แแ แฉแแแ แแแแแแแแ 4xx แจแแชแแแแแแก (backend-แแ) แแ แแแก แแ แแแฃแแแ แแ แแฃ แแก แแฆแแแแขแแแ แแแแแแแแฃแ แแแแแขแก, แแแจแแ แฃแแ แแงแแคแ (แคแ แแแแแขแแ) แงแแแแ แจแแแแแแ แแแแจแแ แก แแ ip-แแแ แแแแแแแแฃแแ แแ แแแ. .
แขแแฅแแแแฃแ แแ, แแก แแ แแฅแแแแ แแแชแแ แแแ แแแแก แฃแฎแแจแ แซแแแแกแแแ, แแก แแฅแแแแ แแแชแแ 4xx แจแแชแแแแแแแกแแแ. แแแแแแแแแ, แแฃ แฎแจแแ แแ แแแฎแแแ แแ แแ แกแแแฃแ url-แก (404), แแแจแแ แแแชแแแช แแแฃแจแแแแแก.
แฃแแแ แขแแแแกแ แแ แงแแแแแแ แแคแแฅแขแฃแ แ แแแแ แแแแแแแแ แแแฅแแแแ แแ แจแแแขแงแแแแแแ แแฃ แ แแแแ แแแแแแขแ แแแแแฉแแแแแ:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ัะพะทะดะฐัั ัะฐะฑะปะธัั, ัััะพะบะพะฒัั, 1000 ัะปะตะผะตะฝัะพะฒ, ะฟัะพััั
ะฐะตั ัะตัะตะท 15 ัะตะบ, ะทะฐะฟะธัะฐัั ะบะพะป-ะฒะพ ะพัะธะฑะพะบ ะทะฐ ะฟะพัะปะตะดะฝะธะต 10 ัะตะบ
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#ะทะฐะฟะพะผะฝะธัั ip
http-request track-sc0 src
#ะทะฐะฟัะตัะธัั ั http ะพัะธะฑะบะพะน 429, ะตัะปะธ ะทะฐ ะฟะพัะปะตะดะฝะธะต 10 ัะตะบ ะฑะพะปััะต 4 ะพัะธะฑะพะบ
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
แแ แแ แแก แกแแฃแแแแแกแ แแแ แแแแขแ, แแแแแ แแแแแ แแฃแแแ. แฉแแแ แแแแแแแ แฃแแแแ แแฎแแ แแก แแ แแแแแแแแแแ แฌแแแ แแฎแแ แแก.
แแแแแแแกแฎแแแแก แฃแฎแแจแแ แแแแแฅแชแแแแ แแ แแแแแฃแฅแแแแ แแแก TCP แแแแจแแ แก.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#ัะพะทะดะฐัั ัะฐะฑะปะธัั ip ะฐะดัะตัะพะฒ, 1000 ัะปะตะผะตะฝัะพะฒ, ะฟัะพััั
ะฝะตั ัะตัะตะท 15 ัะตะบ, ัะพั
ััะฝััั ะธะท ะณะปะพะฑะฐะปัะฝะพะณะพ ัััััะธะบะฐ
stick-table type ip size 1k expire 15s store gpc0
#ะฒะทััั ะธััะพัะฝะธะบ
tcp-request connection track-sc0 src
#ะพัะบะปะพะฝะธัั tcp ัะพะตะดะธะฝะตะฝะธะต, ะตัะปะธ ะณะปะพะฑะฐะปัะฝัะน ัััััะธะบ >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ัะพะทะดะฐัั ัะฐะฑะปะธัั ip ะฐะดัะตัะพะฒ, 1000 ัะปะตะผะตะฝัะพะฒ, ะฟัะพััั
ะฝะตั ัะตัะตะท 15 ัะตะบ, ัะพั
ัะฐะฝััั ะบะพะป-ะฒะพ ะพัะธะฑะพะบ ะทะฐ 10 ัะตะบ
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#ะผะฝะพะณะพ ะพัะธะฑะพะบ, ะตัะปะธ ะบะพะป-ะฒะพ ะพัะธะฑะพะบ ะทะฐ 10 ัะตะบ ะฟัะตะฒััะธะปะพ 8
acl errors_too_fast sc1_http_err_rate gt 8
#ะฟะพะผะตัะธัั ะฐัะฐะบั ะฒ ะณะปะพะฑะฐะปัะฝะพะผ ัััััะธะบะต (ัะฒะตะปะธัะธัั ัััััะธะบ)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#ะพะฑะฝัะปะธัั ะณะปะพะฑะฐะปัะฝัะน ัััััะธะบ
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#ะฒะทััั ะธััะพัะฝะธะบ
tcp-request content track-sc1 src
#ะพัะบะปะพะฝะธัั, ะฟะพะผะตัะธัั, ััะพ ะฐัะฐะบะฐ
tcp-request content reject if errors_too_fast mark_as_abuser
#ัะฐะทัะตัะธัั, ัะฑัะพัะธัั ัะปะฐะถะพะบ ะฐัะฐะบะธ
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
แแแแแ, แแแแ แแ แแแแแแแแแแ, แฉแแแ แแแแแแ แฃแแแแ แจแแชแแแแแก http 429 (แซแแแแแ แแแแ แ แแแแฎแแแแ)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
แแแแแฌแแแ: แแแจแแแ mstsc-แก แแ แแแฌแงแแ แแแ แแแแแแก แจแแแแฎแแแแแ แจแแงแแแแแก. แแแกแแแ แแชแแแแแแแก แจแแแแแ 10 แฌแแแจแ แแแแ แฃแแแแก แฃแแแ แแ mstsc แฃแจแแแแก แจแแชแแแแแก. แ แแแแ แช แแฃแ แแแแแแจแ แฉแแแก.
แแฎแกแแ-แแแแแแ แขแแแแแ. แจแแ แก แแแ แฐแแแ แแฅแกแแแก แแกแขแแขแแกแแแ. แแ แแแกแแแก, แแแแแแแแแ, แ แแขแแ
http-แแแแฎแแแแ แฃแแ แงแแก deny_status 429 if { sc_http_err_rate(0) gt 4 }
แกแแจแฃแแแแแแก แแแซแแแแ แแแฃแจแแแ แแแแฎแแแแแแ 10 แจแแชแแแแ, แกแแแแ แแก แแฃแจแแแแก.
แแแแแแฃแแ แแแ แแ แแชแฎแแแแแแแก แแฃแแแ แแชแแแจแ. แฐแแแ แแฅแกแแแก แแกแขแแขแแแ, แแแฎแแ แฃแแ แแแฅแแแแ, แแฃ แจแแแแแกแแแ, แจแแแแกแฌแแ แแแ, แแแแแฃแแฏแแแแกแแแ.
แแแแแแขแแ แแแจแ แจแแแแซแแแแ แจแแแแแแแแแแแ RD Gateway-แแก แแแชแแแก แกแฎแแ แแแแแ, แกแแแแขแแ แแกแ แแฅแแแแ แจแแกแฌแแแแ.
แ แแช แจแแแฎแแแ Windows Remote Desktop Client-แก (mstsc), แแฆแกแแแแจแแแแแ, แ แแ แแแก แแ แแฅแแก TLS1.2 แแฎแแ แแแญแแ แ (แแแแแแฃแ Windows 7-แจแ), แแแแขแแ แแแแแฌแแ TLS1-แแก แแแขแแแแแ; แแ แฃแญแแ แก แแฎแแ แก แแแแแแแแ แ แจแแคแ แแแก, แแแแขแแ แแแช แแแแแฌแแ แซแแแแแก แแแขแแแแแ.
แแแแแแแก, แแแกแแช แแ แแคแแ แ แแกแแแก, แแฎแแแแ แกแฌแแแแแแก แแ แฃแแแ แกแฃแ แก แแแ แแแ แแแแแแแแก, แแ แแแแชแแแ แแแแ แแแแคแแแฃแ แแชแแแก.
แฐแแแ แแฅแกแ.แแแแค
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
แ แแขแแ แแ แแก แแ แ แกแแ แแแ แ แฃแแแแ แแแแแแ? แแแแขแแ, แ แแ แแกแ แจแแแแซแแแแ แจแแชแแแแแก แขแแแแ แแแขแแแ. Haproxy-แก แแกแแแ แจแแฃแซแแแ แแแแแแแแก แแ แ แแชแฃแ แแแ แแแแ แ IP-แแ.
แแแแแแแแแแ แ แแกแฃแ แกแแแ: แจแแแแซแแแแ แแแแฌแงแแ โแแ แ แแแแชแแ แขแ, แแ แ แแแ แแแ, แกแแแแแแจแ แแแแแแฃแขแแ แแโ. แฒแแฎแแแแแ แแก แกแแแแแ แแกแ แแฅแแแแ แแแแแแแแกแแแแก.
แแแฃแแแแ:
แฌแงแแ แ: www.habr.com