Комментарии 2
Если вы знаете, с каких адресов к вам будут поступать запросы, то лучше ограничить перечень возможных источников подсетью или конкретными адресами.
А лучше вообще по GeoIP разрешить только Россию (благо в 7 версии это можно сделать), если, конечно, у вас 99% контента применимо для граждан страны, ибо сейчас с иностранных IP-адресов очень много брутфорса лезет, устаёшь подсети банить. Чего стоит Бразилия... сейчас даже новости про это выходят)
Маскарадинг: происходит DNAT на конечные серверы, адрес источника при этом сохраняется — наш выбор.
Это можно сделать, если публиковать внутренние серверы нужно не через DNAT, а через reverce-proxy? Чтобы осуществлять фильтрацию контента и дешифрацию трафика (эдакий DPI на минималках)
По факту - спасибо за статью, плюсанул и добавил в избранные. Может когда-нибудь пригодится. Хотя, я ожидал увидеть балансировку на случай, если ПАК один, а в него заходит 2 канала связи от разных провайдеров (резервирование) :)
Из статьи непонятно как обеспечивается попадание одних и тех же клиентов на одни и те же ноды если это нужно.
Какая капасити у такого балансера?
Что будет если одна нода за балансером отвалится?
Есть UserGate? Значит, есть и балансировщик