Как запретить скачивание торрентов на своем VPN сервере?

Question

[Дмитрий Баскаков]

Поднял VPN на wireguard. Хотел бы раздать доступы знакомым, но боюсь что кто-то забудет выключить и будет заходить на те сайты, которые не поймет страна сервера или качать торренты, что тоже может не понять страна в котором сервер находится. Плюс, на нужных мне серверах трафик ограничен

Поэтому вопрос: как я могу добавить исключения на VPN сервер? VPN сервер стоит на Debian

На данный момент нашел информацию о возможном существованияи белых/черных список, но у wireguard не нашел конкретной информаци. Так же, нашел информацию о блокировки через iptable, но говорят что это спорный вариант. Пока что как-то так. Буду рад за любые утонения и варианты как лучше реализовать подобную блокировку

UPD 1:
Новый вариант решения задачи:

# apt-get update
# apt-get install xtables-addons-common

# iptables -I FORWARD -p tcp -m ipp2p --bit -j DROP
# iptables -I FORWARD -p udp -m ipp2p --bit -j DROP

На сколько он хорош?

Comments

[over_clocked]

Удалось решить задачу с помощью ipp2p?

[neerro]

over_clocked, таким образом блокировка скачивания торрентов у меня не заработала. Видимо "ipp2p" не совсем эффективное решение, ну как минимум мТоррентом все прекрасно скачивалось.

Answer 1

[AlexVWill]

Вот как то так:
https://www.digitalocean.com/community/tutorials/h...
UFW - это надстройка над iptable, в доступных понятиях это управляющая утилита брандмауэра Linux, служит для открытия и закрытия входящих и исходящих портов. Прочитать ВНИМАТЕЛЬНО, т.к. можно напортачить!!!
Достаточно оставить открытыми порты 22, 80, 443, ну и те порты, которые используются для почты, мессенджеров. Это на 100% не решит, но поможет.
Имей ввиду, важна очередность правил, правила работают "сверху вниз", т.е. если есть исключающие друг-друга, сработает первое по списку.

Answer 2

[ky0]

Разрешите наружу с впна только нужные порты - HTTP(S), почту и т. д. Это решит 90% проблем.

Comments

[Дмитрий Баскаков]

Каким образом это можно сделать?

Вопрос может глупый, но мои знания в подобных вещах на уровне нуля

[ky0]

Дмитрий Баскаков, это делается через iptables или аналогичное ПО на впн-сервере - просто добавляете правило, разрешающее форвард на нужных портах, а затем запрещающее всё.

Answer 3

[splintr]

Выше написали про ufw, это хороший и простой вариант, главное первым делом разрешить порт ssh(22 по-умолчанию).
Если еще не поставили fail2ban, необходимо обязательно его установить, даже дефолтных настроек уже поможет защититься от ботов.

Answer 4

[ewgenc]

Раздать доступы знакомым - уже не лучшая идея с точки зрения безопасности.