Пустить торренты в обход VPN

2

4

В силу надвигающихся проблем, хочу перейти на постоянное использование VPN, однако меня останавливает 1 факт - за загрузку торрентов VPS-ка легко может быть удалена хостером. С другой же стороны пока нет никакого резона пускать торренты через VPN - порнуху торрентами я не качаю, а за всё остальное у нас не сажают и пока каких-то особых подвижек в эту сторону нет.

Итак, я контролирую VPN-сервер, я контролирую свой компьютер (могу и там, и там добавить любые правила iptables), я использую только 1 торрент-клиент - qBittorrent (могу подправить его настройки).

Хотелось бы двух фич:

1) Сделать так, чтобы VPN-сервер отказался пропускать торренты (на случай какого-то сбоя в настройках перенаправления у клиента). Особенно важно забанить раздачу через VPN (наиболее опасная активность для VPS).

2) Сделать так, чтобы торренты шли через основное сетевое соединение, а не VPN. При этом по возможности хотелось бы использовать средства NetworkManager - я видел там в настройках соединения какую-то штуку под названием «Зона файервола». Соответственно, насколько я понимаю, можно сделать так, чтобы набор правил применялся именно при использовании соответствующего соединения.

Ссылка

←	Подключение домашнего интернета из за границы

Systemd-networkd в Network Namespace.

→

вроде так сделать нельзя. можно запретить ходить торрентам через впн, но так как ты его сделаешь дефолтным гейтвеем, то они просто отвалятся.
вопрос можно решить следующим образом:
поднимаешь контейнер, сетевая конфигурация которого отличается от твоего хоста (т.е на хосте весь трафик шурует через впн, а контейнер о впн ничего не знает, и использует мостовой интерфейс)
даёшь контейнеру доступ к файлопомойке и запускаешь там торрент-демон. как-то так

P.S на тему подписался, самому интересно есть ли другие решения

Deleted
(24.06.17 13:44:16 MSK)

Ответ на: комментарий от Deleted 24.06.17 13:44:16 MSK

Хм... а ты подал мне идею. А что если сделать вот так: https://unix.stackexchange.com/questions/317151/change-default-gateway-for-sp...

В смысле, сменить default gateway для процесса qbittorrent.

Это может заработать?

И как запретить то торрентам ходить через VPN на стороне сервера (чтобы если я что-то криво настрою, то была страховка)?

KivApple ★★★★★
(24.06.17 13:47:22 MSK) автор топика

Ответ на: комментарий от KivApple 24.06.17 13:47:22 MSK

сейчас почитаю и скажу
запретить - очень просто, зная что большинство торрент клиентов работают по udp и по определённому диапазону портов. правда, вырубая торренты с лёгкостью можно выкосить всякие webrtc
но это наиболее топорный способ

Deleted
(24.06.17 13:50:00 MSK)

Ответ на: комментарий от Deleted 24.06.17 13:50:00 MSK

Не хотелось бы выкашивать webrtc и прочие легальные вещи.

KivApple ★★★★★
(24.06.17 13:50:43 MSK) автор топика

Ссылка

А steam, платежные системы и другие интересанты того откуда ты выходишь? :) Могут и забанить. По мне так странное желание, лучше создать нескольких пользователей под разные роли и правила в iptables для групп и пользователей через --gid-owner и --uid-owner соответственно. С NetworkManager совсем грустно получается, он не умеет поднимать множество default gateways, без чего я не знаю как сделать так чтоб часть трафика шло через туннель, а часть напрямую. Да и NetworkManager не позволяет поставить «mssfix 0» чтоб сегментирование tcp пакеты, без этого vpn можно спалить по MSS.

Aber ★★★★★
(24.06.17 13:51:40 MSK)

Ссылка

Ответ на: комментарий от Deleted 24.06.17 13:44:16 MSK

поднимаешь контейнер

достаточно просто поднять сетевой неймспейс

vvviperrr ★★★★★
(24.06.17 13:53:01 MSK)

Если хостер грохнул VPSку за торренты это очень херовый хостер. Я вот через time4vps активно гоняю торрены уже с год и все нормально.

~~StReLoK~~ ☆☆
(24.06.17 13:53:46 MSK)

Ответ на: комментарий от vvviperrr 24.06.17 13:53:01 MSK

достаточно просто поднять сетевой неймспейс

да, ты прав.

Deleted
(24.06.17 13:55:01 MSK)

Ссылка

маршрутизация по белому списку через VPN же
зачем тебе все засовывать в VPN?
ты что, аллах-бабах?

pekmop1024 ★★★★★
(24.06.17 13:55:06 MSK)

Ссылка

Ответ на: комментарий от StReLoK 24.06.17 13:53:46 MSK

Я использую «пожизненную» VPS у cloudatcost. Это в принципе выгоднее, чем арендовать нормальную VPS, потому что я за неё заплатил только 1 раз.

Да, стабильность у этой штуки меньше, но для VPN не критично.

KivApple ★★★★★
(24.06.17 13:56:02 MSK) автор топика

Ответ на: комментарий от KivApple 24.06.17 13:56:02 MSK

«пожизненную»

Наобманулово, по 9 баксов в год теперь. Да и латентность дикая. Лучше уж арубу тогда купить, если нет возможности взять нормальный железный сервер у тех же хецнеров с аукциона.

pekmop1024 ★★★★★
(24.06.17 13:57:23 MSK)
Последнее исправление: pekmop1024 24.06.17 13:58:06 MSK (всего исправлений: 1)

Ответ на: комментарий от pekmop1024 24.06.17 13:57:23 MSK

Про что ты? У них на сайте до сих пор акция висит, да и мой VPS отлично работает.

KivApple ★★★★★
(24.06.17 14:02:42 MSK) автор топика

Ответ на: комментарий от KivApple 24.06.17 14:02:42 MSK

Про что ты? У них на сайте до сих пор акция висит, да и мой VPS отлично работает.

Почту проверь. Они EULA поменяли. Кто не заплатил - того нафиг с пляжа. По девять баксов в год с аккаунта, независимо от количества ресурсов.

pekmop1024 ★★★★★
(24.06.17 14:04:34 MSK)

Меня, в связи с этим роскомпозором, больше волнует организация нормального DNS, если честно.

pekmop1024 ★★★★★
(24.06.17 14:07:28 MSK)

Ссылка

Ответ на: комментарий от pekmop1024 24.06.17 14:04:34 MSK

А можно пруфы то? Нет у меня на почте никаких уведомлений об изменении политики.

KivApple ★★★★★
(24.06.17 14:11:57 MSK) автор топика

Ответ на: комментарий от KivApple 24.06.17 14:11:57 MSK

На почте и нет, при входе в панель EULA принять просит.
А у тебя ничего нет, потому что, видимо, еще не прошел последний год или ты пользуешься меньше года.

pekmop1024 ★★★★★
(24.06.17 14:17:52 MSK)

Ссылка

Думаю, может получиться через VLAN:
- создай интерфейс с VLAN;
- присвой ему совершенно другой ip, не пересекающийся с маской твоего основного интерфейса (например, у тебя используется сеть 192.168.0.0/24, тогда присвой новому интерфейсу какой-нибудь ip из сети 192.168.1.0/24);
- полностью заблокируй в iptables сообщение этого интерфейса с тунельным;
- в настройках торрент-клиента выбери новый интерфейс.

Deleted
(24.06.17 15:47:20 MSK)

Ссылка

rtorrent умеет общаться с трекерами через прокси, а сами запросы слать напрямую

Pinkbyte ★★★★★
(24.06.17 17:54:18 MSK)

Ответ на: комментарий от Pinkbyte 24.06.17 17:54:18 MSK

rtorrent умеет общаться с трекерами через прокси, а сами запросы слать напрямую

это практически любой клиент умеет.
вопрос тут в другом, похоже тс хочет воткнуть default gateway через vpn, в то же время пустив торренты мимо vpn
если бы у него был лишь строго определённый список маршрутов через vpn, то вся эта возня была бы излишня. вряд ли среди ресурсов, на которые будут добавлены маршруты появится личер.

Deleted
(25.06.17 03:55:28 MSK)

Ответ на: комментарий от Deleted 25.06.17 03:55:28 MSK

похоже тс хочет воткнуть default gateway через vpn, в то же время пустив торренты мимо vpn

Если VPS-ка на KVM, то поможет policy based routing + опционально network namespace. Опционально, потому что в принципе можно через MARK и policy based routing разрулить всё, если rtorrent пускать из под отдельного пользователя.

Pinkbyte ★★★★★
(25.06.17 14:58:04 MSK)