Я пытаюсь реализовать killswitch OpenVPN.
Моя цель состоит в том, чтобы ВЕСЬ трафик проходил через интерфейс OpenVPN tun.
++ iptables -vL -n -t фильтр
Цепочка INPUT (политика DROP 2 пакета, 221 байт)
pkts bytes target prot opt in out source target
3064 543K ПРИНЯТЬ все -- * * 10.1.3.0/24 0.0.0.0/0
65 8711 ПРИНЯТЬ все -- lo * 0.0.0.0/0 0.0.0.0/0
1200 101K ПРИНЯТЬ все -- tun+ * 0.0.0.0/0 0.0.0.0/0
1380 194K ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 состояние УСТАНОВЛЕНО
Цепочка FORWARD (политика DROP 0 пакетов, 0 байт)
pkts bytes target prot opt in out source target
0 0 ПРИНЯТЬ все -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ПРИНЯТЬ все -- * tun+ 0.0.0.0/0 0.0.0.0/0
Цепочка OUTPUT (политика DROP 55 пакетов, 3821 байт)
pkts bytes target prot opt in out source target
3701 372K ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 совпадение UID владельца 0
1397 994K ПРИНЯТЬ все -- * * 0.0.0.0/0 10.1.3.0/24
67 8765 ПРИНЯТЬ все -- * lo 0.0.0.0/0 0.0.0.0/0
710 59654 ПРИНЯТЬ все -- * tun+ 0.0.0.0/0 0.0.0.0/0
+ ip netns exec dewinetns235 ip маршрут
пользовательский: 0.0.0.0/1 через 188.72.101.193 dev tun0
пользовательский: по умолчанию через 10.1.3.1 dev veth1
обычай: 10.1.3.0/24 dev veth1 ссылка на область ядра proto src 10.1.3.2
пользовательский: 128.0.0.0/1 через 188.72.101.193 dev tun0
обычай: 188.72.101.192/28 dev tun0 ссылка на область ядра proto src 188.72.101.194
пользовательский: 188.72.101.245 через 10.1.3.1 dev veth1
Я разрешаю любому пользователю отправлять/получать данные через интерфейс OpenVPN tun+.
Но только пользователь root может отправлять трафик на ЛЮБОЙ интерфейс.
Я запускаю qbittorrent-nox как Деви user - так как я хочу, чтобы он использовал только тун+ Интерфейс OpenVPN
Проблема в том, что торренты не качаются.
Вот журнал:
(N) 2022-01-03T22:29:30 - Использование каталога конфигурации: /home/dewi/.config/qBittorrent/
(I) 2022-01-03T22:29:30 - Попытка прослушивания: 0.0.0.0:24435,[::]:24435
(N) 2022-01-03T22:29:30 - Идентификатор узла: -qB4390-
(N) 2022-01-03T22:29:30 — Пользовательский агент HTTP — «qBittorrent/4.3.9»
(I) 2022-01-03T22:29:30 - Поддержка DHT [ВКЛ]
(I) 2022-01-03T22:29:30 — Поддержка локального обнаружения одноранговых узлов [ВКЛ]
(I) 2022-01-03T22:29:30 - Поддержка PeX [ВКЛ]
(I) 2022-01-03T22:29:30 - Анонимный режим [ВЫКЛ]
(I) 2022-01-03T22:29:30 - Поддержка шифрования [ВКЛ]
(I) 2022-01-03T22:29:30 - Поддержка UPnP/NAT-PMP [ВКЛ]
(I) 2022-01-03T22:29:30 - База данных геолокации IP загружена. Тип: DBIP-Country-Lite. Время сборки: сб, 1 января, 01:11:53 2022.
(N) 2022-01-03T22:29:30 - Использование встроенного веб-интерфейса.
(W) 2022-01-03T22:29:30 - Не удалось загрузить перевод веб-интерфейса для выбранной локали (C).
(N) 2022-01-03T22:29:30 - Веб-интерфейс: теперь прослушивание на IP: *, порт: 8080
(I) 2022-01-03T22:29:30 - Успешно прослушивается IP: 127.0.0.1, порт: TCP/24435
(I) 2022-01-03T22:29:30 - Успешно прослушивается IP: 127.0.0.1, порт: UDP/24435
(I) 2022-01-03T22:29:30 - Успешно прослушивается IP: 10.1.3.2, порт: TCP/24435
(I) 2022-01-03T22:29:30 - Успешно прослушивается IP: 10.1.3.2, порт: UDP/24435
(I) 2022-01-03T22:29:30 - Успешно прослушивается IP:::1, порт: TCP/24435
(I) 2022-01-03T22:29:30 - Успешно прослушивается IP:::1, порт: UDP/24435
(N) 2022-01-03T22:29:30 — «Слезы стали» восстановлены.
(W) 2022-01-03T22:29:31 - Ошибка поиска исходного имени URL. Торрент: «Стальные слезы». URL-адрес: «https://webtorrent.io/torrents/». Ошибка: «Сид URL-адреса Tears of Steel (https://webtorrent.io/torrents/) не удалось: хост не найден (неавторизованный), повторите попытку позже»
(I) 2022-01-03T22:29:31 - Успешно прослушивается IP: fe80::9854:c0ff:fe91:8615%veth1, порт: TCP/24435
(I) 2022-01-03T22:29:31 - Успешно прослушивается IP: fe80::9854:c0ff:fe91:8615%veth1, порт: UDP/24435
(I) 2022-01-03T22:29:38 - Успешно прослушивается IP: fe80::adff:cb13:634d:1de8%tun0, порт: TCP/24435
(I) 2022-01-03T22:29:38 - Успешно прослушивается IP: fe80::adff:cb13:634d:1de8%tun0, порт: UDP/24435
(I) 2022-01-03T22:29:38 - Успешно прослушивается IP: 188.72.101.194, порт: TCP/24435
(I) 2022-01-03T22:29:38 - Успешно прослушивается IP: 188.72.101.194, порт: UDP/24435
(N) 2022-01-03T22:29:53 - Успешный вход в WebAPI. IP-адрес: ::ffff:10.1.3.1
(C) 2022-01-03T22:32:14 - UPnP/NAT-PMP: сбой сопоставления портов, сообщение: не удалось сопоставить порт с помощью UPnP: маршрутизатор не найден
(C) 2022-01-03T22:32:14 - UPnP/NAT-PMP: сбой сопоставления портов, сообщение: не удалось сопоставить порт с помощью UPnP: маршрутизатор не найден
(I) 2022-01-03T22:37:21 - Обнаружен внешний IP-адрес: 188.72.101.194
Интересно увидеть следующую строку:
(W) 2022-01-03T22:29:31 - Ошибка поиска исходного имени URL. Торрент: «Стальные слезы». URL-адрес: «https://webtorrent.io/torrents/». Ошибка: «Сид URL-адреса Tears of Steel (https://webtorrent.io/torrents/) не удалось: хост не найден (неавторизованный), повторите попытку позже»
Я могу свернуть гугл. Ему удается разрешить имя хоста
dewi@dewiserver:~/.local/share/qBittorrent/logs$ curl google.com
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 перемещено</TITLE></HEAD><BODY>
<H1>301 перемещено</H1>
Документ перемещен
<A HREF="http://www.google.com/">здесь</A>.
</ТЕЛО></HTML>
Установка для правил ipable по умолчанию значения ALLOW не приводит к указанной выше ошибке, и торрент загружается успешно.
Что странно, при использовании моего ограничения правила iptable этот тест торрент-IP работает и правильно возвращает мой общедоступный IP-адрес Openvpn.
https://torguard.net/checkmytorrentipaddress.php
