Паранойя о пробросе портов в локальную сеть для rTorrent (Как обезопасить входящие соединения?)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Аватара пользователя
McSim
Сообщения: 418
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim » 23.10.2018 10:46

Пост просто в качестве дискуссии... :drunk:

Представим себе типичный домашний сервер, на котором хранится семейное фото, куча персональных данных, документов (сканы паспортов, документов и т.п.) и другое хоум порно :crazy:
На этом же сервере крутится, предположим, rTorrent сервис, чтобы качать сериальчики, киношечки и т.п..
Для того, чтобы рейтинг на торрент порталах не падал, нужно хоть чуть-чуть раздавать.
Для того, чтобы торрент раздавал, кто-то к нему должен подключаться и забирать байтики.
Для того, чтобы кто-то мог подключиться, нужно пробросить порт до этого сервиса.

В данный момент я настроил себе сервер на стареньком Celeron, который одной ногой смотрит в интернет (через OpenVPN туннель), а другой - в локальную сеть.
С исходящими соединениями проблем нет. Netfilter и SNAT справляется с данной задачей.
А вот со входящими есть вопрос.
По умолчанию, все новые соединения дропаются. Разрешен только SSH по ключам (через DNAT) и он (ssh) не на данном сервере.
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
Особенно, учитывая содержимое сервера )

Поэтому и вопрос: кто какими методами снижал опасность данного решения?
Стоит ли озадачиваться рейтингом в современных реалиях и просто стоит продолжить блокировать входящий трафик?

P.S. Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
Другого физического сервера тоже нет.
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4644
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit » 23.10.2018 11:54

McSim писал:
23.10.2018 10:46
Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
имхо docker ваш друг. он снизит все риски.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

Аватара пользователя
/dev/random
Администратор
Сообщения: 4767
ОС: Gentoo

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение /dev/random » 23.10.2018 11:59

McSim писал:
23.10.2018 10:46
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.
Спасибо сказали:

Аватара пользователя
McSim
Сообщения: 418
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim » 23.10.2018 12:03

SLEDopit писал(а):
23.10.2018 11:54
имхо docker ваш друг. он снизит все риски.
Хех

Код: Выделить всё

Minimum requirements
8GB of RAM for manager nodes or nodes running DTR
4GB of RAM for worker nodes
3GB of free disk space
Recommended production requirements
16GB of RAM for manager nodes or nodes running DTR
4 vCPUs for manager nodes or nodes running DTR
25-100GB of free disk space
Воротить системы контейнеров на железе с 512 Mb ОЗУ - не получится )
Спасибо сказали:

Аватара пользователя
McSim
Сообщения: 418
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim » 23.10.2018 12:10

/dev/random писал:
23.10.2018 11:59
От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.
Согласен со всеми рассуждениями.
Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено.
Вот этот вариант развития событий я что-то не учел. (

Склоняюсь к тому, чтобы отделить торрент на роутер, как самый бюджетный вариант )
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4644
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit » 23.10.2018 12:17

McSim писал:
23.10.2018 12:03
Воротить системы контейнеров на железе с 512 Mb ОЗУ - не получится )
Очень даже получится. Вы смотрите требования для UCP. Это вам не нужно.
docker просто удобная надстройка для управления фичами ядра (cgroups, namespaces). И само по себе ест очень мало.
Если у вас система смогла запуститься и хватает места на rtorrent и прочий софт, то для docker'a место найдется вполне.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

Аватара пользователя
McSim
Сообщения: 418
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim » 23.10.2018 12:41

SLEDopit
Действительно,
плохо вчитался. :)
Попробую поиграть с этим чудом )
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 676
ОС: gentoo fluxbox

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение yoricI » 23.10.2018 14:08

Я бы направил паранойю на удаление паспортов и прочего порно. НА бумажках оно хранится не хуже :-)
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4644
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit » 23.10.2018 15:24

yoricI писал:
23.10.2018 14:08
НА бумажках оно хранится не хуже :-)
Порно на бумажках? Расскажете?)
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15168
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение Bizdelnick » 23.10.2018 15:37

SLEDopit писал(а):
23.10.2018 15:24
Порно на бумажках? Расскажете?
Порно на словах? o_O
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 676
ОС: gentoo fluxbox

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение yoricI » 23.10.2018 18:48

SLEDopit писал(а):
23.10.2018 15:24
Порно на бумажках? Расскажете?)
Могу даже показать :-) яндекс - > "порно рисунки"
Bizdelnick писал:
23.10.2018 15:37
Порно на словах? o_O
Да тоже запросто, по той же схеме :-)
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4644
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit » 23.10.2018 18:53

yoricI писал:
23.10.2018 18:48
Могу даже показать :-) яндекс - > "порно рисунки"
Они же там не двигаются. Так неинтересно (:
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 676
ОС: gentoo fluxbox

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение yoricI » 23.10.2018 19:04

А воображение на что?
Спасибо сказали: