LINUX.ORG.RU

Торрент клиент и IP фильтр


0

1

Добрый день.

У меня проблема.

Сейчас пользуюсь Transmission с его ип-фильтром. Всё устраивает. Но, возникла необходимость в таком клиенте, в котором можно выставить фильтр адресов только на входящий траф, при этом не фильтровать исходящий.

Подскажите, есть такой?


Ответ на: комментарий от firestarter

А почему бы с помощью iptables не фильтровать?

Никогда не приходилось с ним сталкиваться. И честно говоря, бегло поглядев на его ман-страницу, немного офигел.

А там возможно настроить так, чтобы именно торрент клиенту запрещать несколько диапазонов, а остальным программам оставить доступ ко всему? Ну или наоборот. Нескольким программам разрешить полный доступ, а остальным блокировать несколько диапазонов?

t1351
() автор топика
Ответ на: комментарий от t1351

можно воспользоваться гуёвым чем-нибудь (firestarter) или негуёвым shorewall

nixtrian
()
Ответ на: комментарий от t1351

А там возможно настроить так, чтобы именно торрент клиенту запрещать несколько диапазонов, а остальным программам оставить доступ ко всему? Ну или наоборот. Нескольким программам разрешить полный доступ, а остальным блокировать несколько диапазонов?

Нет, оно, AFAIK, не умеет работать как application-based firewall. Зато умеет gufw.

Axon ★★★★★
()
Ответ на: комментарий от firestarter

Ну битторрент использует определённый порт

И какой же, интересно, порт, использует bittorrent? Просветите нас.

Axon ★★★★★
()
Ответ на: комментарий от firestarter

Какой укажешь в настройках, такой и использует.

Указывать порт, и фильтровать по нему - костыль в данном случае. и такую задачу:

t1351

Нескольким программам разрешить полный доступ, а остальным блокировать несколько диапазонов

так по-человечески не решить. Для этого есть application-based firewall'ы.

Axon ★★★★★
()
Ответ на: комментарий от Axon

Ну дык для любого торрент-клиента один фиг надо порт пробрасывать, чем тебе еще пара правил на этот порт помешала?

aleks13
()
Ответ на: комментарий от Axon

а разве iptables не умеет помечать пакеты по UID? тогда можно просто пускать торрент-клиента с другого пользователя и фильтровать пакеты для этой метки %)

// да, я не знаю можно или нет, где-то слышал звон, да не знаю где он.

billic ★★
()
Ответ на: комментарий от billic

а разве iptables не умеет помечать пакеты по UID? тогда можно просто пускать торрент-клиента с другого пользователя и фильтровать пакеты для этой метки %)

Во-первых, откуда вообще в IP пакетах метка UID? Во-вторых, вот уж это-то точно костыль жуткий. :-)

Axon ★★★★★
()
Ответ на: комментарий от Axon

Зачем, можно просто фильтровать по PID. IPtables это умеет. И кстати говоря, плагины для реализации application level к нему тоже есть.

anonymous
()
Ответ на: комментарий от t1351

t1351

А там возможно настроить так, чтобы именно торрент клиенту запрещать несколько диапазонов, а остальным программам оставить доступ ко всему?

можно, если запускать клиент от спец-юзера.

drBatty ★★
()
Ответ на: комментарий от Axon

Axon

Ну дык для любого торрент-клиента один фиг надо порт пробрасывать

Oh really?

да. Качает быстрее (если конечно IP белый).

drBatty ★★
()
Ответ на: комментарий от anonymous

anonymous

Зачем, можно просто фильтровать по PID. IPtables это умеет.

неудобно. Хотя и можно. Проще по UID.

drBatty ★★
()
Ответ на: комментарий от Axon

Axon

Во-первых, откуда вообще в IP пакетах метка UID?

в цепочке INPUT она от приложений. В других цепочках её нет.

Axon

Во-вторых, вот уж это-то точно костыль жуткий. :-)

жуткий костыль - это ваш гуй долбанный, который непонятно как (не)работает

drBatty ★★
()
Ответ на: комментарий от drBatty

Качает быстрее (если конечно IP белый).

Да правда, что ли? Во-первых, не качает, а раздаёт. Во-вторых, это заметно, разве что, на 100мегабитный аплинках. У меня 30, разницы 0.

Axon ★★★★★
()
Ответ на: комментарий от Axon

Axon

Да правда, что ли?

правда.

Axon

Во-первых, не качает, а раздаёт

и качает тоже.

Axon

Во-вторых, это заметно, разве что, на 100мегабитный аплинках. У меня 30, разницы 0.

заметно даже на 2Мбитном ADSL'е.

Просто с белым IP ваш клиент находит больше пиров, ибо связывается не только с теми у кого IP белый, а также с теми, у кого IP серый. Таких во первых очень много, а во вторых часто это клиенты Ethernet провайдеров, где скорость отдачи очень высокая, но IP стОит некоторую сумму, которую мало кто из хомяков готов заплатить (во первых мало кто об этом знает, во вторых провайдер убеждает хомяков, что белый IP - это опасно. В принципе он прав).

Естественно, это всё касается далеко не всех закачек... Но это правило.

drBatty ★★
()
Ответ на: комментарий от drBatty

заметно даже на 2Мбитном ADSL'е.

Ну, а на 100мегабитном - не заметно вообще.

Просто с белым IP ваш клиент находит больше пиров, ибо связывается не только с теми у кого IP белый, а также с теми, у кого IP серый.

Хмм. Вроде, и так как-то соединяется. Иначе бы шанс скачать что-то не слишком популярное был близок к нулю.

Axon ★★★★★
()
Ответ на: комментарий от drBatty

Просто с белым IP ваш клиент находит больше пиров, ибо связывается не только с теми у кого IP белый, а также с теми, у кого IP серый.

Всё же, фигню вы сказали. Чем порт, открытый для входящих соединений, помогает устанавливать исходящие?

Axon ★★★★★
()
Ответ на: комментарий от Axon

Axon

Ну, а на 100мегабитном - не заметно вообще.

заметно. но опять-таки, если у вас скажем 30, и вы нашли пиров с суммарной отдачей в 30, то естественно больше 30и у вас не будет. А если не нашли?

Axon

Хмм. Вроде, и так как-то соединяется. Иначе бы шанс скачать что-то не слишком популярное был близок к нулю.

никак не соединяется. Разве что так: http://version6.ru/why#более-высокая-скорость-скачивания-торрентов А если у вас серый IP, то соединится с другим серым напрямую невозможно. Это азы...

Axon

Всё же, фигню вы сказали. Чем порт, открытый для входящих соединений, помогает устанавливать исходящие?

эх... Когда устанавливается TCP соединение, то открывается два канала - входящий и исходящий. Тот, у кого IP серый отправляет пакет на известный открытый порт того, у кого IP белый. Причём первый клиент ещё и открывает входящий случайный порт для входящего трафика. Именно туда второй сервер отправляет ответ, и после этого становится возможным и приём и передача информации. Если на пути есть роутер с непроброщенным торрент-портом (у первого клиента), то связь всё равно возможна - роутер запоминает входящий порт первого клиента, и автоматически его пробрасывает, т.к. через него проходит первый пакет с номером входящего порта клиента, и роутер помнит, куда отправлять ответ сервера. Однако, если второй сервер попытается открыть соединение как клиент, отправив запрос на первого клиента, то роутер не сможет догадаться, на какой именно первый компьютер отправить запрос (вы-же не пробросили), и потому просто подропает пакет.

Очевидно, что такой роутер не может поддерживать более 64К клиентов одновременно. Мало того, при 32К клиентах соединение устанавливается в сред. только со второй попытки.

И да, к NAT'у это вообще никак не относиться строго говоря.

drBatty ★★
()
Ответ на: комментарий от Axon

Axon

Но почему тогда я ни разу не видел разницы?

а как вы её заметите? Для этого нужно начать закачку с серым IP, и сменить этот IP на белый. Если у вас низкая скорость из-за того, что вам недостаточно пиров, и если есть пиры с серым IP которых вы не видите, то это станет сразу заметно. Но обычно для 30Мбпс достаточно и белых пиров. А если недостаточно, то не факт, что серые помогут...

drBatty ★★
()
Ответ на: комментарий от drBatty

а как вы её заметите? Для этого нужно начать закачку с серым IP, и сменить этот IP на белый. Если у вас низкая скорость из-за того, что вам недостаточно пиров, и если есть пиры с серым IP которых вы не видите, то это станет сразу заметно.

Второй вариант: начать качать с белого IP выключенным firewall'ом, а потом его включить. Я так делал, скорость не падала.

Но обычно для 30Мбпс достаточно и белых пиров.

Я же говорил, у меня 100.

Axon ★★★★★
()
Ответ на: комментарий от Axon

Axon

Второй вариант: начать качать с белого IP выключенным firewall'ом, а потом его включить. Я так делал, скорость не падала.

что такое «firewall» я не очень понимаю. Если вы про интерфейс iptables - то правила в студию. Опять таки - «не падала» не показатель - если у вас скорость ограничена провайдером, а не числом пиров, то очевидно она и не упадёт.

и да, что спорить? это же p2p, тут всё зависит от очень многих причин, включая и погоду на Марсе. И зависит нелинейно, ибо в принципе, при сером IP, скорость может быть и выше. (если погода на Марсе такова, что найденные пиры с серым IP - плохие, и только занимают дефицитные соединения. Есть смысл их сбросить).

Axon

Я же говорил, у меня 100.

ну количественно картина меняется от скорости, но качественно - обычно нет.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.