Паранойя о пробросе портов в локальную сеть для rTorrent (Как обезопасить входящие соединения?)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim »

Пост просто в качестве дискуссии... :drunk:

Представим себе типичный домашний сервер, на котором хранится семейное фото, куча персональных данных, документов (сканы паспортов, документов и т.п.) и другое хоум порно :crazy:
На этом же сервере крутится, предположим, rTorrent сервис, чтобы качать сериальчики, киношечки и т.п..
Для того, чтобы рейтинг на торрент порталах не падал, нужно хоть чуть-чуть раздавать.
Для того, чтобы торрент раздавал, кто-то к нему должен подключаться и забирать байтики.
Для того, чтобы кто-то мог подключиться, нужно пробросить порт до этого сервиса.

В данный момент я настроил себе сервер на стареньком Celeron, который одной ногой смотрит в интернет (через OpenVPN туннель), а другой - в локальную сеть.
С исходящими соединениями проблем нет. Netfilter и SNAT справляется с данной задачей.
А вот со входящими есть вопрос.
По умолчанию, все новые соединения дропаются. Разрешен только SSH по ключам (через DNAT) и он (ssh) не на данном сервере.
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
Особенно, учитывая содержимое сервера )

Поэтому и вопрос: кто какими методами снижал опасность данного решения?
Стоит ли озадачиваться рейтингом в современных реалиях и просто стоит продолжить блокировать входящий трафик?

P.S. Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
Другого физического сервера тоже нет.
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit »

McSim писал:
23.10.2018 10:46
Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
имхо docker ваш друг. он снизит все риски.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
/dev/random
Администратор
Сообщения: 5282
ОС: Gentoo

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение /dev/random »

McSim писал:
23.10.2018 10:46
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim »

SLEDopit писал(а):
23.10.2018 11:54
имхо docker ваш друг. он снизит все риски.
Хех

Код: Выделить всё

Minimum requirements
8GB of RAM for manager nodes or nodes running DTR
4GB of RAM for worker nodes
3GB of free disk space
Recommended production requirements
16GB of RAM for manager nodes or nodes running DTR
4 vCPUs for manager nodes or nodes running DTR
25-100GB of free disk space
Воротить системы контейнеров на железе с 512 Mb ОЗУ - не получится )
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian
Контактная информация:

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение McSim »

/dev/random писал:
23.10.2018 11:59
От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.
Согласен со всеми рассуждениями.
Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено.
Вот этот вариант развития событий я что-то не учел. (

Склоняюсь к тому, чтобы отделить торрент на роутер, как самый бюджетный вариант )
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit »

McSim писал:
23.10.2018 12:03
Воротить системы контейнеров на железе с 512 Mb ОЗУ - не получится )
Очень даже получится. Вы смотрите требования для UCP. Это вам не нужно.
docker просто удобная надстройка для управления фичами ядра (cgroups, namespaces). И само по себе ест очень мало.
Если у вас система смогла запуститься и хватает места на rtorrent и прочий софт, то для docker'a место найдется вполне.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2345
ОС: gentoo fluxbox

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение yoricI »

Я бы направил паранойю на удаление паспортов и прочего порно. НА бумажках оно хранится не хуже :-)
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit »

yoricI писал:
23.10.2018 14:08
НА бумажках оно хранится не хуже :-)
Порно на бумажках? Расскажете?)
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение Bizdelnick »

SLEDopit писал(а):
23.10.2018 15:24
Порно на бумажках? Расскажете?
Порно на словах? o_O
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2345
ОС: gentoo fluxbox

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение yoricI »

SLEDopit писал(а):
23.10.2018 15:24
Порно на бумажках? Расскажете?)
Могу даже показать :-) яндекс - > "порно рисунки"
Bizdelnick писал:
23.10.2018 15:37
Порно на словах? o_O
Да тоже запросто, по той же схеме :-)
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение SLEDopit »

yoricI писал:
23.10.2018 18:48
Могу даже показать :-) яндекс - > "порно рисунки"
Они же там не двигаются. Так неинтересно (:
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2345
ОС: gentoo fluxbox

Re: Паранойя о пробросе портов в локальную сеть для rTorrent

Сообщение yoricI »

А воображение на что?
Спасибо сказали:
Ответить