@unbelieve

Как не сломать ВПН, закрывая порты?

Есть впн wireguard.
"Клиенты" > wireguard (vps) > интернет.
Некоторые "клиенты" иногда забывают про запрет торрентов и качают, после чего идет абуза и сервер блочится.

Как настроить iptables так, чтобы не сломать "клиентам" интернет, но при этом запретить торренты?
Будет ли всё основное (сайты, приложения) работать, если разрешить только основные порты, наподобие 80,443 и тд?
Почему возник такой вопрос. Потому что когда изучал как работает впн, заметил, что подключения идут по очень разным портам. Т.е. не только 80, 443, а 52304, 52558 и тд. Т.е. разброс портов огромный. Поэтому и возник вопрос, не сломается ли интернет у людей.
  • Вопрос задан
  • 195 просмотров
Пригласить эксперта
Ответы на вопрос 2
ValdikSS
@ValdikSS
Установите пакет xtables-addons-common (или аналогичный в вашем дистрибутиве) и настройте модуль ipp2p на блокировку Bittorrent-трафика:
iptables -A FORWARD -m ipp2p --bit -j DROP

Он несколько старенький, но умеет блокировать и классический Bittorrent, и DHT, но насчёт µTP не уверен. Он точно не блокирует обфусцированный TCP Bittorrent.
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Качественно прибить торренты с помощью iptables не получится. Хотя бы потому, что можно для них выставить 80 и 443 порты.
Стандартный подход - это включить логгирование iptables, снять кусок лога, проанализировать его и создать нужные правила, поместив их выше логирования через iptables -I
И так шаг за шагом включать правила, уменьшая количество записей в логе. Затем запретить все не разрешенное.

подключения идут по очень разным портам. Т.е. не только 80, 443, а 52304, 52558 и тд.

Вы должны понимать разницу между новыми запросами, идущими с любого порта на например 80 и 443 и ответами на них, идущими с 80 и 443 на этот же любой порт.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы