Re: Настройки iptables для transmission

To: debian-russian@lists.debian.org
Subject: Re: Настройки iptables для transmission
From: Yuriy Kaminskiy <yumkam@mail.ru>
Date: Sat, 06 Feb 2010 20:09:01 +0300
Message-id: <[🔎] hkk7nc$rr$1@ger.gmane.org>
In-reply-to: <[🔎] 4B6D8520.8000501@gmail.com>
References: <[🔎] 4B6D1270.6070100@gmail.com> <[🔎] hkju55$40n$1@ger.gmane.org> <[🔎] 4B6D8520.8000501@gmail.com>
On 06.02.2010 18:05, James Brown wrote:
> Yuriy Kaminskiy wrote:
>>> ОС - Lenny AMD64
>>> Transmission 1.22 (6191) (пакеты  transmission-gtk и  transmission-common)
>> чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет (1.70+),
>> magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet - полезна.
> Да я как бы вкурсе, что древняя, я уже некоторое время думаю, на что ее
> заменить.
> Как думаете, стоит ли поставить 1.77 с бэкпортс, или что еще выбрать?
я обычно делаю самосбор, без пакета, в stow; сейчас - на 1.83, до того -
пользовал 1.82 и 1.76 (и более ранние по мере выхода ;-))
но я вообще качаю мало, на тонком канале, и редкое, так что мой опыт несколько
ограничен и biased...

> Кто-то мне говорил, что какая то версия 1.80+ из убунтоидных
> репозиториев у него вроде неплохо работает.
текущая - 1.83; поскольку 1.8x недавно дошла до релиза, там ещё плюхи
допиливают; полагаю, 1.77 тоже можно использовать, magnet пока ещё не жизненно
необходим ;-)

> Пробовал ставить делюгу, мне очень понравился ее интерфейс,
я предпочёл без интерфейса - transmission-daemon, и к нему при желании поглядеть
на процентики пускаю transmission-remote-cli; гуй во время работы жрёт в среднем
несколько процентов cpu (3-5%), daemon - ~0.2-0.4%;
и (специально для параноиков) его можно пускать от отдельного юзверя ;-)
[{смотрит на ldd /path/to/transmission-daemon} а вот с chroot будет пожалуй облом]

>> были дополнительные соображения - экономия памяти на очень дохлом
>> adsl-модеме/роутере).
>>   
> А сколько портов ему (торрент-клиенту) вообще надо? Один? Или несколько?
Вообще, торрент может обходится и без открытых портов вовсе, но тогда он может
соединится с меньшим числом пиров; соответственно, с популярными торрентами оно
работает практически ничем не хуже, а с редкими и рассеянными - плохо; впрочем,
насколько работоспособна DHT без открытых портов - сильно не уверен.

У некоторых клиентов есть особые закидоны, но большинству (из тех, что я
пробовал - bitflu, rtorrent, transmission) нужен один входящий tcp порт для
обычной работы, и один порт входящий udp порт для работы через DHT [который
может/должен совпадать с tcp-портом] (соответственно, для transmission 1.22
достаточно только tcp порта, поскольку DHT он не умеет ;-))

Для исходящих соединений локальный порт не биндится (используется стандартным
образом выделяемый случайный порт из local_range), и в какой-либо специальной
обработке в iptables не нуждается (исходящие обычно разрешены, входящие -
попадают под ESTABLISHED).

> Т.е. я должен прописать проброс одного и того же (одних и тех же)
> порта(ов) на рутере, в iptables  и в клиенте?
Насколько я понимаю, да. Какие коррективы в это вносит использование UPnP -
толком не разбирался за ненадобностью (пропускает он тот порт, что просили, или
выделяет из какого-то пула? как согласовывать его с локальным файрволом?...)

> А какого тогда вопрос? Если в клиенте прописан один порт, а
> пробрасывается другой?
Насколько я понимаю, клиент сообщает трекеру, какой у него открытый порт на
входящие соединения (аналогично и с DHT). Так что такое работать НЕ должно (во
всяком случае без [несуществующего в природе] modprobe nat_torrent).

> Я ведь делал так (правда из соображений безопасности, типа если кто
> поставит трояна, а я еще не замечу, чтобы этот троян не мог проброс
> портов сделать). И указывал порт, который указан в клиенте. И не
> открывался он!!!
> Или это чисто глюк древного трансмишна?

>> И у тебя порядок правил в файрволе неправильный.
>>
>> Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому что
>> под него попадает подавляющее число пакетов);
>>   
> А если "нечаянно" (точнее, из-за неправильного определения последующих
> настроек) установиться нежелательное соединение? Или от него я уже таким
> путем не спасусь?
Угу. Если совсем параноидально, то, наверно, можно разнести
--state ESTABLISHED -j ACCEPT
[дроп всего подозрительного что может иметь --state RELATED]
--state RELATED -j ACCEPT
[дроп оставшегося подозрительного]
[пропуск нужных входящих портов и так далее]
... но я в этом особого смысла не вижу
>> [...]
>>   
> Премного благодарен за совет.  Буду его курить.
> P.S. Где бы найти умное, подробное и в то же время доступное руководство
> по iptables?
> http://www.opennet.ru/docs/RUS/iptables/
я именно его и курил вдумчиво когда-то; потом - оригинал; и добавил соображения
здравого смысла (основная часть пакетов должна проходить как можно более
короткую и простую цепочку).

> http://www.xakep.ru/magazine/xs/058/066/1.asp - это конечно все хорошо,
> но на этих материалах, по-моему, нельзя научиться создавать сложные
> цепочки правил для iptables.
>>>     Видимо, я как-то неправильно определяю порты, которые нужно
>>> открывать в фаерволе?
>>>     Каким образом определить их для торрент-клиента?
>>>     
>> открывать нужно входящий tcp и udp; исходящие должны и так работать;
>>   
> Пасибо. Но один порт? Или их д.б. несколько? С учетом вышеизложенного, я
> так и не понял.
для большинства клиентов достаточно одного порта для входящих соединений; можно
использовать один и тот же порт для tcp (входящие соединения пиров) и udp (DHT)
[собственно, в transmission только такой вариант и предусмотрен].

в каких-то древних клиентах вроде бы нужно было большее число открытых портов
(по одному порту на активный торрент?), но я такими не пользовался.

> По-видимому, это глюк клиента, который надо менять на более новую версию.
<offtopic>
>> PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно поглядеть кто
>> на torrents.ru аннонсирует порт 58663 ;-)
> Дерзай! Только почему именно этот порт и именно torrents.ru? :-P  Я ведь
> мог для рассылки специально указать другой

Разумеется, настоящий параноик ровно так бы и сделал ;-) (впрочем, даже
настоящие параноики на подобной мелочи палятся ;-))); смотрим недавнее
исследование - для практически уникальной идентификации гражданина США
достаточно знать zip-код, пол и месяц (?) рождения; исследования по
идентификации по социальным сетям; и всё такое прочее ;-))).

Просто слишком хороший повод поддразнить, невозможно удержатся ;-)))

Ах да, стоит учитывать, что при анонимизации публикуемых настроек можно добавить
(или скрыть) какие-то плюхи в конфигурации, которые могли бы заметить и помочь
исправить ;-)) Так что цена у подобной паранойи тоже ненулевая ;-)))

> и могу пользоваться другими трекерами, не?
пуф; и? можно мониторить /не только/ torrents.ru :-)
для этого даже доступ к телу не нужен, достаточно угадать торрент ;-)
</offtopic>
Reply to:
References:
- Настройки iptables для transmission
  - From: James Brown <jbrownfirst@gmail.com>
- Re: Настройки iptables для transmission
  - From: Yuriy Kaminskiy <yumkam@mail.ru>
- Re: Настройки iptables для transmission
  - From: James Brown <jbrownfirst@gmail.com>
Prev by Date: Re: переключение раскладки клавиатуры из скрипта
Next by Date: Re: переключение раскладки клавиатуры из скрипта
Previous by thread: Re: Настройки iptables для transmission
Next by thread: Re: Настройки iptables для transmission
Index(es):
- Date
- Thread