Торрент клиент и IP фильтр

А почему бы с помощью iptables не фильтровать?

А почему бы с помощью iptables не фильтровать?

Никогда не приходилось с ним сталкиваться. И честно говоря, бегло поглядев на его ман-страницу, немного офигел.

А там возможно настроить так, чтобы именно торрент клиенту запрещать несколько диапазонов, а остальным программам оставить доступ ко всему? Ну или наоборот. Нескольким программам разрешить полный доступ, а остальным блокировать несколько диапазонов?

можно воспользоваться гуёвым чем-нибудь (firestarter) или негуёвым shorewall

А там возможно настроить так, чтобы именно торрент клиенту запрещать несколько диапазонов, а остальным программам оставить доступ ко всему? Ну или наоборот. Нескольким программам разрешить полный доступ, а остальным блокировать несколько диапазонов?

Нет, оно, AFAIK, не умеет работать как application-based firewall. Зато умеет gufw.

Ну битторрент использует определённый порт, можно для этого порта блокировать диапазоны IP.

Ну битторрент использует определённый порт

И какой же, интересно, порт, использует bittorrent? Просветите нас.

Какой укажешь в настройках, такой и использует.

Какой укажешь в настройках, такой и использует.

Указывать порт, и фильтровать по нему - костыль в данном случае. и такую задачу:

t1351

Нескольким программам разрешить полный доступ, а остальным блокировать несколько диапазонов

так по-человечески не решить. Для этого есть application-based firewall'ы.

Ну в первом посте шла речь только о торренте.

Ну дык для любого торрент-клиента один фиг надо порт пробрасывать, чем тебе еще пара правил на этот порт помешала?

а разве iptables не умеет помечать пакеты по UID? тогда можно просто пускать торрент-клиента с другого пользователя и фильтровать пакеты для этой метки %)

// да, я не знаю можно или нет, где-то слышал звон, да не знаю где он.

Ну дык для любого торрент-клиента один фиг надо порт пробрасывать

Oh really?

а разве iptables не умеет помечать пакеты по UID? тогда можно просто пускать торрент-клиента с другого пользователя и фильтровать пакеты для этой метки %)

Во-первых, откуда вообще в IP пакетах метка UID? Во-вторых, вот уж это-то точно костыль жуткий. :-)

Зачем, можно просто фильтровать по PID. IPtables это умеет. И кстати говоря, плагины для реализации application level к нему тоже есть.

1) не помню, но я видел ^_^

2) с этим не поспорю (=

t1351

А там возможно настроить так, чтобы именно торрент клиенту запрещать несколько диапазонов, а остальным программам оставить доступ ко всему?

можно, если запускать клиент от спец-юзера.

Axon

Ну дык для любого торрент-клиента один фиг надо порт пробрасывать

Oh really?

да. Качает быстрее (если конечно IP белый).

anonymous

Зачем, можно просто фильтровать по PID. IPtables это умеет.

неудобно. Хотя и можно. Проще по UID.

Axon

Во-первых, откуда вообще в IP пакетах метка UID?

в цепочке INPUT она от приложений. В других цепочках её нет.

Axon

Во-вторых, вот уж это-то точно костыль жуткий. :-)

жуткий костыль - это ваш гуй долбанный, который непонятно как (не)работает

Качает быстрее (если конечно IP белый).

Да правда, что ли? Во-первых, не качает, а раздаёт. Во-вторых, это заметно, разве что, на 100мегабитный аплинках. У меня 30, разницы 0.

Axon

Да правда, что ли?

правда.

Axon

Во-первых, не качает, а раздаёт

и качает тоже.

Axon

Во-вторых, это заметно, разве что, на 100мегабитный аплинках. У меня 30, разницы 0.

заметно даже на 2Мбитном ADSL'е.

Просто с белым IP ваш клиент находит больше пиров, ибо связывается не только с теми у кого IP белый, а также с теми, у кого IP серый. Таких во первых очень много, а во вторых часто это клиенты Ethernet провайдеров, где скорость отдачи очень высокая, но IP стОит некоторую сумму, которую мало кто из хомяков готов заплатить (во первых мало кто об этом знает, во вторых провайдер убеждает хомяков, что белый IP - это опасно. В принципе он прав).

Естественно, это всё касается далеко не всех закачек... Но это правило.

заметно даже на 2Мбитном ADSL'е.

Ну, а на 100мегабитном - не заметно вообще.

Просто с белым IP ваш клиент находит больше пиров, ибо связывается не только с теми у кого IP белый, а также с теми, у кого IP серый.

Хмм. Вроде, и так как-то соединяется. Иначе бы шанс скачать что-то не слишком популярное был близок к нулю.

Просто с белым IP ваш клиент находит больше пиров, ибо связывается не только с теми у кого IP белый, а также с теми, у кого IP серый.

Всё же, фигню вы сказали. Чем порт, открытый для входящих соединений, помогает устанавливать исходящие?

Почитал, нет, не совсем фигню. Но почему тогда я ни разу не видел разницы?

Axon

Ну, а на 100мегабитном - не заметно вообще.

заметно. но опять-таки, если у вас скажем 30, и вы нашли пиров с суммарной отдачей в 30, то естественно больше 30и у вас не будет. А если не нашли?

Axon

Хмм. Вроде, и так как-то соединяется. Иначе бы шанс скачать что-то не слишком популярное был близок к нулю.

никак не соединяется. Разве что так: http://version6.ru/why#более-высокая-скорость-скачивания-торрентов А если у вас серый IP, то соединится с другим серым напрямую невозможно. Это азы...

Axon

Всё же, фигню вы сказали. Чем порт, открытый для входящих соединений, помогает устанавливать исходящие?

эх... Когда устанавливается TCP соединение, то открывается два канала - входящий и исходящий. Тот, у кого IP серый отправляет пакет на известный открытый порт того, у кого IP белый. Причём первый клиент ещё и открывает входящий случайный порт для входящего трафика. Именно туда второй сервер отправляет ответ, и после этого становится возможным и приём и передача информации. Если на пути есть роутер с непроброщенным торрент-портом (у первого клиента), то связь всё равно возможна - роутер запоминает входящий порт первого клиента, и автоматически его пробрасывает, т.к. через него проходит первый пакет с номером входящего порта клиента, и роутер помнит, куда отправлять ответ сервера. Однако, если второй сервер попытается открыть соединение как клиент, отправив запрос на первого клиента, то роутер не сможет догадаться, на какой именно первый компьютер отправить запрос (вы-же не пробросили), и потому просто подропает пакет.

Очевидно, что такой роутер не может поддерживать более 64К клиентов одновременно. Мало того, при 32К клиентах соединение устанавливается в сред. только со второй попытки.

И да, к NAT'у это вообще никак не относиться строго говоря.

Axon

Но почему тогда я ни разу не видел разницы?

а как вы её заметите? Для этого нужно начать закачку с серым IP, и сменить этот IP на белый. Если у вас низкая скорость из-за того, что вам недостаточно пиров, и если есть пиры с серым IP которых вы не видите, то это станет сразу заметно. Но обычно для 30Мбпс достаточно и белых пиров. А если недостаточно, то не факт, что серые помогут...

а как вы её заметите? Для этого нужно начать закачку с серым IP, и сменить этот IP на белый. Если у вас низкая скорость из-за того, что вам недостаточно пиров, и если есть пиры с серым IP которых вы не видите, то это станет сразу заметно.

Второй вариант: начать качать с белого IP выключенным firewall'ом, а потом его включить. Я так делал, скорость не падала.

Но обычно для 30Мбпс достаточно и белых пиров.

Я же говорил, у меня 100.

Axon

Второй вариант: начать качать с белого IP выключенным firewall'ом, а потом его включить. Я так делал, скорость не падала.

что такое «firewall» я не очень понимаю. Если вы про интерфейс iptables - то правила в студию. Опять таки - «не падала» не показатель - если у вас скорость ограничена провайдером, а не числом пиров, то очевидно она и не упадёт.

и да, что спорить? это же p2p, тут всё зависит от очень многих причин, включая и погоду на Марсе. И зависит нелинейно, ибо в принципе, при сером IP, скорость может быть и выше. (если погода на Марсе такова, что найденные пиры с серым IP - плохие, и только занимают дефицитные соединения. Есть смысл их сбросить).

Axon

Я же говорил, у меня 100.

ну количественно картина меняется от скорости, но качественно - обычно нет.