Паранойя о пробросе портов в локальную сеть для rTorrent (Как обезопасить входящие соединения?)

[McSim]

Пост просто в качестве дискуссии...

Представим себе типичный домашний сервер, на котором хранится семейное фото, куча персональных данных, документов (сканы паспортов, документов и т.п.) и другое хоум порно
На этом же сервере крутится, предположим, rTorrent сервис, чтобы качать сериальчики, киношечки и т.п..
Для того, чтобы рейтинг на торрент порталах не падал, нужно хоть чуть-чуть раздавать.
Для того, чтобы торрент раздавал, кто-то к нему должен подключаться и забирать байтики.
Для того, чтобы кто-то мог подключиться, нужно пробросить порт до этого сервиса.

В данный момент я настроил себе сервер на стареньком Celeron, который одной ногой смотрит в интернет (через OpenVPN туннель), а другой - в локальную сеть.
С исходящими соединениями проблем нет. Netfilter и SNAT справляется с данной задачей.
А вот со входящими есть вопрос.
По умолчанию, все новые соединения дропаются. Разрешен только SSH по ключам (через DNAT) и он (ssh) не на данном сервере.
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
Особенно, учитывая содержимое сервера )

Поэтому и вопрос: кто какими методами снижал опасность данного решения?
Стоит ли озадачиваться рейтингом в современных реалиях и просто стоит продолжить блокировать входящий трафик?

P.S. Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
Другого физического сервера тоже нет.

[SLEDopit]

Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.

имхо docker ваш друг. он снизит все риски.

[/dev/random]

Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.

От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.

[McSim]

имхо docker ваш друг. он снизит все риски.

Хех

Код: Выделить всё

Minimum requirements
8GB of RAM for manager nodes or nodes running DTR
4GB of RAM for worker nodes
3GB of free disk space
Recommended production requirements
16GB of RAM for manager nodes or nodes running DTR
4 vCPUs for manager nodes or nodes running DTR
25-100GB of free disk space

Воротить системы контейнеров на железе с 512 Mb ОЗУ - не получится )

[McSim]

От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.

Согласен со всеми рассуждениями.

Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено.

Вот этот вариант развития событий я что-то не учел. (

Склоняюсь к тому, чтобы отделить торрент на роутер, как самый бюджетный вариант )

[SLEDopit]

Воротить системы контейнеров на железе с 512 Mb ОЗУ - не получится )

Очень даже получится. Вы смотрите требования для UCP. Это вам не нужно.
docker просто удобная надстройка для управления фичами ядра (cgroups, namespaces). И само по себе ест очень мало.
Если у вас система смогла запуститься и хватает места на rtorrent и прочий софт, то для docker'a место найдется вполне.

[McSim]

SLEDopit
Действительно,
плохо вчитался.
Попробую поиграть с этим чудом )

[yoricI]

Я бы направил паранойю на удаление паспортов и прочего порно. НА бумажках оно хранится не хуже :-)

[SLEDopit]

НА бумажках оно хранится не хуже :-)

Порно на бумажках? Расскажете?)

[Bizdelnick]

Порно на бумажках? Расскажете?

Порно на словах? o_O

[yoricI]

Порно на бумажках? Расскажете?)

Могу даже показать :-) яндекс - > "порно рисунки"

Порно на словах? o_O

Да тоже запросто, по той же схеме :-)

[SLEDopit]

Могу даже показать :-) яндекс - > "порно рисунки"

Они же там не двигаются. Так неинтересно (:

[yoricI]

А воображение на что?