Как не сломать ВПН, закрывая порты?

Question

[unbelieve]

Есть впн wireguard.
"Клиенты" > wireguard (vps) > интернет.
Некоторые "клиенты" иногда забывают про запрет торрентов и качают, после чего идет абуза и сервер блочится.

Как настроить iptables так, чтобы не сломать "клиентам" интернет, но при этом запретить торренты?
Будет ли всё основное (сайты, приложения) работать, если разрешить только основные порты, наподобие 80,443 и тд?
Почему возник такой вопрос. Потому что когда изучал как работает впн, заметил, что подключения идут по очень разным портам. Т.е. не только 80, 443, а 52304, 52558 и тд. Т.е. разброс портов огромный. Поэтому и возник вопрос, не сломается ли интернет у людей.

Answer 1

[ValdikSS]

Установите пакет xtables-addons-common (или аналогичный в вашем дистрибутиве) и настройте модуль ipp2p на блокировку Bittorrent-трафика:
iptables -A FORWARD -m ipp2p --bit -j DROP

Он несколько старенький, но умеет блокировать и классический Bittorrent, и DHT, но насчёт µTP не уверен. Он точно не блокирует обфусцированный TCP Bittorrent.

Comments

[unbelieve]

аддон в репах есть. Попробую этот вариант.

[unbelieve]

Данный модуль установил, запустил. При запуске iptables -L строка iptables -A FORWARD -m ipp2p --bit -j DROP имеется.
Но все равно пришла абуза.

Более того, я пробовал сам скачать безобидный торрент. Все нормально качается.
Эта штука никак не повлияла на работу торрентов.

Я даже запретил конкретный порт, на который ссылается абуза. Даже запрет порта не помог. У меня через этот порт тоже качаются торренты.

Я хз куда копать и почему не работаю правила.

[ValdikSS]

unbelieve, Возможно, вы что-то делаете не так. У меня фильтрация пакетов через ipp2p напрочь отсеивает все закачки, что для меня было неожиданностью.

Удостоверьтесь, что вы поместили правило в правильное место таблицы (то, что выше — только пример команды), также может быть необходимо добавить подобное правило для IPv6 (ip6tables).

[unbelieve]

ValdikSS, блин, я ж про ipv6 забыл совсем.

Можете так же подсказать про порядок? У меня есть еще другие правила. Что должно быть выше, ниже, раньше, позже? Спасибо.

[unbelieve]

spoiler

Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw-before-logging-input  all  --  anywhere             anywhere            
ufw-before-input  all  --  anywhere             anywhere            
ufw-after-input  all  --  anywhere             anywhere            
ufw-after-logging-input  all  --  anywhere             anywhere            
ufw-reject-input  all  --  anywhere             anywhere            
ufw-track-input  all  --  anywhere             anywhere            
DROP       all  --  10.0.0.0/8           anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ufw-before-logging-forward  all  --  anywhere             anywhere            
ufw-before-forward  all  --  anywhere             anywhere            
ufw-after-forward  all  --  anywhere             anywhere            
ufw-after-logging-forward  all  --  anywhere             anywhere            
ufw-reject-forward  all  --  anywhere             anywhere            
ufw-track-forward  all  --  anywhere             anywhere            
DROP       all  --  10.0.0.0/8           10.0.0.0/8          
DROP       all  --  10.0.0.0/8           100.64.0.0/10       
DROP       all  --  10.0.0.0/8           172.16.0.0/12       
DROP       all  --  10.0.0.0/8           192.168.0.0/16      
DROP       all  --  anywhere             anywhere             -m ipp2p  --bit 
DROP       all  --  anywhere             anywhere             -m ipp2p  --edk 
DROP       all  --  anywhere             anywhere             -m ipp2p  --dc 
DROP       all  --  anywhere             anywhere             -m ipp2p  --kazaa 
DROP       all  --  anywhere             anywhere             -m ipp2p  --gnu 
DROP       all  --  anywhere             anywhere             -m ipp2p  --apple 
DROP       all  --  anywhere             anywhere             -m ipp2p  --winmx 
DROP       all  --  anywhere             anywhere             -m ipp2p  --soul 
DROP       all  --  anywhere             anywhere             -m ipp2p  --ares 
DROP       all  --  anywhere             anywhere             -m ipp2p  --mute 
DROP       all  --  anywhere             anywhere             -m ipp2p  --waste 
DROP       all  --  anywhere             anywhere             -m ipp2p  --xdcc 
DROP       all  --  anywhere             anywhere             -m ipp2p  --bit 
DROP       all  --  anywhere             anywhere             -m ipp2p  --bit 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-output  all  --  anywhere             anywhere            
ufw-before-output  all  --  anywhere             anywhere            
ufw-after-output  all  --  anywhere             anywhere            
ufw-after-logging-output  all  --  anywhere             anywhere            
ufw-reject-output  all  --  anywhere             anywhere            
ufw-track-output  all  --  anywhere             anywhere            

Chain ufw-after-forward (1 references)
target     prot opt source               destination         

Chain ufw-after-input (1 references)
target     prot opt source               destination         
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-ns
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-dgm
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootps
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootpc
ufw-skip-to-policy-input  all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warn prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-after-output (1 references)
target     prot opt source               destination         

Chain ufw-before-forward (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ufw-user-forward  all  --  anywhere             anywhere            

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             224.0.0.251          udp dpt:mdns
ACCEPT     udp  --  anywhere             239.255.255.250      udp dpt:1900
ufw-user-input  all  --  anywhere             anywhere            

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-user-output  all  --  anywhere             anywhere            

Chain ufw-logging-allow (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warn prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warn prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type MULTICAST
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
DROP       all  --  anywhere             anywhere

iptables -L часть 1

[unbelieve]

spoiler

Chain ufw-reject-forward (1 references)
target     prot opt source               destination         

Chain ufw-reject-input (1 references)
target     prot opt source               destination         

Chain ufw-reject-output (1 references)
target     prot opt source               destination         

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-track-forward (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             ctstate NEW

Chain ufw-track-input (1 references)
target     prot opt source               destination         

Chain ufw-track-output (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             ctstate NEW

Chain ufw-user-forward (1 references)
target     prot opt source               destination         

Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2500
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51830
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-user-limit (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warn prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination         

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination         

Chain ufw-user-logging-output (0 references)
target     prot opt source               destination         

Chain ufw-user-output (1 references)
target     prot opt source               destination

iptables -L часть 2

[ValdikSS]

unbelieve, у вас сломана конфигурация. Вы либо вручную правила пишите, либо добавляйте необходимые средствами ufw, раз используете его. Сейчас у вас просто разрешена маршрутизация отовсюду куда угодно (в т.ч. соседи по кабелю могут использовать ваш сервер как прокси-маршрутизатор).

[unbelieve]

ValdikSS, порты наконец-то получилось закрыть. Но ipp2p по-прежнему не работает. Т.е. убираю все правила, добавляю только ipp2p, торренты качаются.
Когда смотрю правила через iptables -L, то в списке модуль ipp2p имеется с ключом --bit.
В какую сторону копать?
ОС - Alpine Linux.

[ValdikSS]

unbelieve, Убедитесь, что правило действительно выполняется (что у него увеличивается счётчик), что добавляете его в правильную таблицу, что у вас в клиенте bittorrent не включено использования только шифрования (force encryption).

Я только что нашел баг в модуле, из-за чего на моем компьютере не блокируется трафик анонсеров, так что там могут быть и другие баги, возможно, зависящие от конфигурации или версии модуля и ядра.

[unbelieve]

ValdikSS, как проверить счетчик я не знаю. Буду рад, если подскажете.
Уже много дней борюсь с этим ipp2p. Весь инет перерыл. В модули прописал, modprobe сделал, все лишнее удалил, чистый iptables. qbittorrent без шифрования. Пиры находит, грузит.

Выхлоп iptables -L:

spoiler

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere                
DROP       all  --  anywhere             anywhere             -m ipp2p  --bit 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             -m ipp2p  --bit 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             -m ipp2p  --bit

[ValdikSS]

unbelieve,

как проверить счетчик я не знаю. Буду рад, если подскажете.

iptables -vnL
Прочитайте документацию к используемому инструменту.

Уже много дней борюсь с этим ipp2p

Выглядит правильно (не считая бесполезного правила в INPUT). Если у правила в FORWARD увеличивается счётчик, то пакеты должны блокироваться. Если у вас используется IPv6, то необходимо добавить еще и ip6tables-правило.

Answer 2

[Alexey Dmitriev]

Качественно прибить торренты с помощью iptables не получится. Хотя бы потому, что можно для них выставить 80 и 443 порты.
Стандартный подход - это включить логгирование iptables, снять кусок лога, проанализировать его и создать нужные правила, поместив их выше логирования через iptables -I
И так шаг за шагом включать правила, уменьшая количество записей в логе. Затем запретить все не разрешенное.

подключения идут по очень разным портам. Т.е. не только 80, 443, а 52304, 52558 и тд.

Вы должны понимать разницу между новыми запросами, идущими с любого порта на например 80 и 443 и ответами на них, идущими с 80 и 443 на этот же любой порт.

Comments

[unbelieve]

Пока что есть пробелы в понимании iptables и в целом работы сети.
Вариант с логами сложный, и не факт что не накосячу.
Ниже есть подсказка с аддоном, попробую его.