Форум Сайтостроение Администрирование серверов

OpenVPN сервер - фильтрация и блокировка трафа

4
На сайте с 18.05.2011
Offline
116
4kusnik
3509

Теоретически-практический вопрос. Есть OpenVPN сервак, к нему подключаются юзеры с OpenVPN клиентов. Требуется ограничить использование bittorrent протокола. В идеале наглухо отрубить возможность его использования через сервак. Т.е. включаешь юторрент под ВПНом и видишь фигу - не качает и не раздает.

Ковыряемся потихоньку с этим вопросом. Определенных успехов достигли (snort, suricata), но с шифрованным трафом проблема. Вот и вопрос - подкиньте идею, которая позволит достигнуть поставленной цели гарантированно.

[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#1

Закрыть все порты, кроме необходимых (веб, почта и т.д.)

Лог в помощь!
Glueon
На сайте с 26.07.2013
Offline
172
Glueon
#2

Для нешифрованного трафика можно топорно модулем string iptables вырезать пакеты:


iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP

iptables -A FORWARD -m string --string "get_peers" --algo bm -j DROP

iptables -A FORWARD -m string --string "announce_peer" --algo bm -j LOGDROP

iptables -A FORWARD -m string --string "find_node" --algo bm -j LOGDROP

iptables -A FORWARD -p udp -m string --algo bm --string "BitTorrent" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string "BitTorrent protocol" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string "peer_id=" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string ".torrent" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string "announce.php?passkey=" -j DROP 

iptables -A FORWARD -p udp -m string --algo bm --string "torrent" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string "announce" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string "info_hash" -j DROP

iptables -A FORWARD -p udp -m string --algo bm --string "tracker" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "BitTorrent" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "BitTorrent protocol" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "peer_id=" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string ".torrent" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "announce.php?passkey=" -j DROP 

iptables -I OUTPUT -p udp -m string --algo bm --string "torrent" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "announce" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "info_hash" -j DROP

iptables -I OUTPUT -p udp -m string --algo bm --string "tracker" -j DROP
Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#3

Никак. Ибо у меня много заказов для настройки торрентов, которые умеют через 443 https.

Не стоит плодить сущности без необходимости
4
На сайте с 18.05.2011
Offline
116
4kusnik
#4
'[umka:
;13144062']Закрыть все порты, кроме необходимых (веб, почта и т.д.)

Этот вариант не совсем хорош. Во первых он не решает проблемы кардинально (у нас уже есть лучшие решения), а во-вторых сильно ограничивает юзера.

Glueon:
Для нешифрованного трафика можно топорно модулем string iptables вырезать пакеты:

Для нешифрованного трафа у нас есть уже решения. Вопрос именно в шифрованном.

Andreyka:
Никак. Ибо у меня много заказов для настройки торрентов, которые умеют через 443 https.

Позвольте немного любопытства - что такое "заказ настройки торрентов" для системного администратора? Может и нам такое вдруг надобно?

Google заверил, что не Google: теги заголовка это Товары, которые временно отсутствуют:
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#5

Это возможность коннекта на 443 tcp торрент-клиентом грубо говоря

R
На сайте с 24.08.2013
Offline
19
rHelper
#6

все равно трафик выходит в открытом виде, шифруется только от клиента до сервера. Торрент сейчас использует uTP протокол (не путать с udp), я маркировал его по размеру пакетов в диапозоне 1425-1470 байт на микротике и загонял в шейпер, в iptables есть модуль connbytes, попробуй так

iptables -A FORWARD -p udp -o eth0 --connbytes 1425:1470 -j REJECT
Услуги администрирования серверов (/ru/forum/906511), ускорю работу сайта, недорого!
Ограничение скорости renter.ru - Xeon E3v3-1270 iptables, модуль state

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий