Паранойя о пробросе портов в локальную сеть для rTorrent (Как обезопасить входящие соединения?)
Модератор: SLEDopit
Паранойя о пробросе портов в локальную сеть для rTorrent
Пост просто в качестве дискуссии...
Представим себе типичный домашний сервер, на котором хранится семейное фото, куча персональных данных, документов (сканы паспортов, документов и т.п.) и другое хоум порно
На этом же сервере крутится, предположим, rTorrent сервис, чтобы качать сериальчики, киношечки и т.п..
Для того, чтобы рейтинг на торрент порталах не падал, нужно хоть чуть-чуть раздавать.
Для того, чтобы торрент раздавал, кто-то к нему должен подключаться и забирать байтики.
Для того, чтобы кто-то мог подключиться, нужно пробросить порт до этого сервиса.
В данный момент я настроил себе сервер на стареньком Celeron, который одной ногой смотрит в интернет (через OpenVPN туннель), а другой - в локальную сеть.
С исходящими соединениями проблем нет. Netfilter и SNAT справляется с данной задачей.
А вот со входящими есть вопрос.
По умолчанию, все новые соединения дропаются. Разрешен только SSH по ключам (через DNAT) и он (ssh) не на данном сервере.
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
Особенно, учитывая содержимое сервера )
Поэтому и вопрос: кто какими методами снижал опасность данного решения?
Стоит ли озадачиваться рейтингом в современных реалиях и просто стоит продолжить блокировать входящий трафик?
P.S. Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
Другого физического сервера тоже нет.
Представим себе типичный домашний сервер, на котором хранится семейное фото, куча персональных данных, документов (сканы паспортов, документов и т.п.) и другое хоум порно
На этом же сервере крутится, предположим, rTorrent сервис, чтобы качать сериальчики, киношечки и т.п..
Для того, чтобы рейтинг на торрент порталах не падал, нужно хоть чуть-чуть раздавать.
Для того, чтобы торрент раздавал, кто-то к нему должен подключаться и забирать байтики.
Для того, чтобы кто-то мог подключиться, нужно пробросить порт до этого сервиса.
В данный момент я настроил себе сервер на стареньком Celeron, который одной ногой смотрит в интернет (через OpenVPN туннель), а другой - в локальную сеть.
С исходящими соединениями проблем нет. Netfilter и SNAT справляется с данной задачей.
А вот со входящими есть вопрос.
По умолчанию, все новые соединения дропаются. Разрешен только SSH по ключам (через DNAT) и он (ssh) не на данном сервере.
Мой паранойя связана с тем, что мне кажется небезопасным открывать порт для сервиса прямо в периметр локальной сети.
Так, при наличии уязвимостей в rtrorrent, можно подвергнуть опасности все свои данные.
Особенно, учитывая содержимое сервера )
Поэтому и вопрос: кто какими методами снижал опасность данного решения?
Стоит ли озадачиваться рейтингом в современных реалиях и просто стоит продолжить блокировать входящий трафик?
P.S. Предполагая рекомендации отделить сервис rtorrent в отдельный физический/виртуальный сервер, к исходным данным могу добавить, что сервер не поддерживает виртуализацию (потому что слаб) и запустить rtorrent в отдельной виртуалке не получиться.
Другого физического сервера тоже нет.
Спасибо сказали:
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
имхо docker ваш друг. он снизит все риски.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
- /dev/random
- Администратор
- Сообщения: 5282
- ОС: Gentoo
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.
Спасибо сказали:
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Хех
Код: Выделить всё
Minimum requirements
8GB of RAM for manager nodes or nodes running DTR
4GB of RAM for worker nodes
3GB of free disk space
Recommended production requirements
16GB of RAM for manager nodes or nodes running DTR
4 vCPUs for manager nodes or nodes running DTR
25-100GB of free disk space
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Согласен со всеми рассуждениями./dev/random писал: ↑23.10.2018 11:59От того, проброшены ли порты торрент-клиента, зависит лишь то, с какими пирами удастся соединиться. Те, у кого не проброшены, не могут соединиться с такими же непроброшенными. Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено. А это значит, что если в rtorrent есть уязвимость, то отсутствие проброса портов ни капли не затруднит работу злоумышленника, пытающегося вас через эту уязвимость взломать. Ваша паранойя направлена совсем не туда, куда надо, и нисколько вас не защитит.
Вот этот вариант развития событий я что-то не учел. (Остальные комбинации соединяются свободно: если кто-то захочет к вам подключиться, он отправит вам свой IP через трекер или других пиров, и ваш клиент соединится с ним со своей стороны. После того, как соединение установлено, уже не имеет значения, что там и куда проброшено.
Склоняюсь к тому, чтобы отделить торрент на роутер, как самый бюджетный вариант )
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Очень даже получится. Вы смотрите требования для UCP. Это вам не нужно.
docker просто удобная надстройка для управления фичами ядра (cgroups, namespaces). И само по себе ест очень мало.
Если у вас система смогла запуститься и хватает места на rtorrent и прочий софт, то для docker'a место найдется вполне.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Я бы направил паранойю на удаление паспортов и прочего порно. НА бумажках оно хранится не хуже :-)
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Порно на бумажках? Расскажете?)
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Могу даже показать :-) яндекс - > "порно рисунки"
Да тоже запросто, по той же схеме :-)
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
Они же там не двигаются. Так неинтересно (:
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: Паранойя о пробросе портов в локальную сеть для rTorrent
А воображение на что?