Ну точнее, я его сам и про...ал.
пару месяцев у меня был анлим, и я качал сериалы со страшной, всеразрушающей силой. Причём и по платному и по гостевому соединению(почему всеразрушающей? да просто пришлось rtorrent надломать, чтоб он сообщал хорошие цифры отдачи, вот вам и разрушения).
Гостевое соединение я аккуратно отделил от платного: платное идёт через модем -> eth0
а гостевое через поднимающийся на компе ppp0. Соответственно соорудил пару правил для iptables, что бы входящие с eth0 на порты 60000-60011 (порты rtorrent) обрубались на корню. На исходящие я ничего не навешивал, поскольку исходящий порт может быть любым, а как привязать правило к имени процесса я не стал копать. Я решил, что раз входить пакеты не смогут, значит и исходящие потихоньку сами собой заглохнут. Теперь один rtorrent усиленно качал через eth0, второй через ppp0, и друг к другу в гости они не ходили.
И вот, я решил, что можно бы временно переключится на другой, потрафиковый, режим. Взял и переключился. Платный торрент отсановил, а гостевой нет - пущай покачает.
И вот, за 2 дня я вижу в статистике 1 гиг. Причём и входящих и исходящих. Украли!!? Нет, сам прое.. ээ... ну, это самое.
Похоже я не до конца разобрался с iptables. Бегает платный трафик в обход моих правил... Есть предположение, что установленные мной правила не распространяются на уже установленные соединения - исходящие то не режутся. Надо думать. Только нечем :(
вторник, 5 января 2010 г.
Подписаться на:
Комментарии к сообщению (Atom)
3 комментария:
установленные соединения, небось, пропускаешь строкой вида
... -m state --state ESTABLISHED,RELATED -j ACCEPT
вверху кофига?
Если "да", то вот оно самое.
Нет, такой строки нет. Есть только вот что:
iptables -A INPUT ! -i ppp0 -p udp --dport 61000:61011 -j REJECT
iptables -A INPUT ! -i ppp0 -p tcp --dport 61000:61011 -j REJECT
Торрент клиент "сидит" на портах 61000-61011.
На OUTPUT ничего нет, так как порт назначения неизвестен(может быть любым)
дефолтное правило везде ACCEPT
Хотел сделать правило по -m owner --pid-owner ..., но как оказалось его уже не поддерживают.
Теперь думаю, плясать от известных бесплатных подсетей.
А, ещё как вариант хочу попробовать второй IP, и посадить rtorrent на него. Тогда всё будет легко запретить и входящие и выходящие.
Отправить комментарий