вторник, 5 января 2010 г.

А.... украли трафик!

Ну точнее, я его сам и про...ал.

пару месяцев у меня был анлим, и я качал сериалы со страшной, всеразрушающей силой. Причём и по платному и по гостевому соединению(почему всеразрушающей? да просто пришлось rtorrent надломать, чтоб он сообщал хорошие цифры отдачи, вот вам и разрушения).

Гостевое соединение я аккуратно отделил от платного: платное идёт через модем -> eth0
а гостевое через поднимающийся на компе ppp0. Соответственно соорудил пару правил для iptables, что бы входящие с eth0 на порты 60000-60011 (порты rtorrent) обрубались на корню. На исходящие я ничего не навешивал, поскольку исходящий порт может быть любым, а как привязать правило к имени процесса я не стал копать. Я решил, что раз входить пакеты не смогут, значит и исходящие потихоньку сами собой заглохнут. Теперь один rtorrent усиленно качал через eth0, второй через ppp0, и друг к другу в гости они не ходили.

И вот, я решил, что можно бы временно переключится на другой, потрафиковый, режим. Взял и переключился. Платный торрент отсановил, а гостевой нет - пущай покачает.

И вот, за 2 дня я вижу в статистике 1 гиг. Причём и входящих и исходящих. Украли!!? Нет, сам прое.. ээ... ну, это самое.

Похоже я не до конца разобрался с iptables. Бегает платный трафик в обход моих правил... Есть предположение, что установленные мной правила не распространяются на уже установленные соединения - исходящие то не режутся. Надо думать. Только нечем :(

3 комментария:

Victor Sheldeshov комментирует...

установленные соединения, небось, пропускаешь строкой вида
... -m state --state ESTABLISHED,RELATED -j ACCEPT

вверху кофига?

Если "да", то вот оно самое.

Сергей Азаркевич комментирует...

Нет, такой строки нет. Есть только вот что:
iptables -A INPUT ! -i ppp0 -p udp --dport 61000:61011 -j REJECT

iptables -A INPUT ! -i ppp0 -p tcp --dport 61000:61011 -j REJECT

Торрент клиент "сидит" на портах 61000-61011.

На OUTPUT ничего нет, так как порт назначения неизвестен(может быть любым)

дефолтное правило везде ACCEPT

Хотел сделать правило по -m owner --pid-owner ..., но как оказалось его уже не поддерживают.
Теперь думаю, плясать от известных бесплатных подсетей.

Сергей Азаркевич комментирует...

А, ещё как вариант хочу попробовать второй IP, и посадить rtorrent на него. Тогда всё будет легко запретить и входящие и выходящие.