Обход блокировки BitTorrent трафика, через отправку фиктивных RST пакетов |
[исправить] |
Некоторые сетевые операторы, например Comcast, используют ПО Sandvine для
нарушения работы BitTorrent.
Принцип действия Sandvine в отправке клиенту поддельных RST пакетов, приводящих
к прерыванию соединения.
Простейший способ борьбы с подобной практикой блокирования - запретить прием пакетов с RST флагом:
iptables -A INPUT -p tcp --dport 6883 --tcp-flags RST RST -j DROP
где, 6883 - номер BitTorrent порта.
Пример скрипта, оставляющего возможность входящих соединений только для BitTorrent:
#!/bin/sh
# Номер порта BitTorrent
BT_PORT=6883
# Сброс настроек iptables
iptables -F
# Разрешаем трафик на loopback интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Молча отбрасываем RST пакеты
iptables -A INPUT -p tcp --dport $BT_PORT --tcp-flags RST RST -j DROP
# Пропускаем уже установленные входящие соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешаем прием соединений для BitTorrent
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport $BT_PORT -j ACCEPT
iptables -A INPUT -m state --state NEW -m udp -p udp --dport $BT_PORT -j ACCEPT
# Все остальные входящие соединения блокируем
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
|
|
|
|
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains |