আমি কীভাবে নিশ্চিত করতে পারি যে ট্রান্সমিশন ট্র্যাফিক একটি ভিপিএন ব্যবহার করে?


31

আমি নিশ্চিত করতে চাই যে সঞ্চালনটি যখন সার্ভারটি চালিত হয় কোনও ভিপিএন-এর সাথে সংযুক্ত থাকে কেবল তখনই ট্রাফিক প্রেরণ / প্রেরণ করে।

আমি এই প্রশ্নটি দেখতে পেয়েছি যা অনুরূপ তবে আমি ভিপিএন এর মাধ্যমে সমস্ত ট্র্যাফিককে বাধ্য করতে চাই না এবং কমান্ড লাইন থেকে ফায়ার স্টার্টার কীভাবে ব্যবহার করতে পারি তার জন্য আমি কোনও ভাল গাইড খুঁজে পাইনি।

পরিবর্তে আমি ইউএফডাব্লু ব্যবহার করার কথা ভাবছিলাম, তবে ফায়ারওয়ালগুলির সাথে আমার খুব কম অভিজ্ঞতা নেই এবং আমি আশা করছি যে সম্প্রদায়টি আমাকে সহায়তা করতে পারে।

আমার একটি ধারণা ছিল ট্রান্সমিশনটিকে একটি নির্দিষ্ট বন্দর ব্যবহার করতে বলি, 33442 বলুন এবং তারপরে কেবল ভিপিএন সার্ভারের আইপি ঠিকানা থেকে সেই বন্দরে ট্র্যাফিকের অনুমতি দেওয়া হবে allow আমি উবুন্টু সার্ভার গাইডটি যাচাই করেছিলাম এবং আমি মনে করি এরকম কিছু করতে পারে:

sudo ufw enable
sudo ufw deny port tcp from localhost to any port 33442
sudo ufa allow port tcp from localhost to VPNIP port 33442
sudo ufw deny port udp from localhost to any port 33442
sudo ufa allow port udp from localhost to VPNIP port 33442

এই যুক্তি কি তার লবণ ধরে? তুমি এটা কি ভাবে করবে? ভিপিএনআইপি, ভিপিএন সার্ভারের সর্বজনীন আইপি, বা ভিপিএন আমাকে সংযুক্ত করার জন্য স্থানীয় সাবনেট রেঞ্জের জন্য আমি কী ব্যবহার করব?

আপনার সাহায্যের জন্য ধন্যবাদ!

উত্তর:


25

vpnrouteগোষ্ঠী তৈরি করুন :

sudo groupadd vpnroute

একটি iptablesনিয়ম যুক্ত করুন যা vpnrouteগোষ্ঠীর সদস্যদের দ্বারা তৈরি যে কোনও বহির্গামী নেটওয়ার্ক সংযোগকে প্রত্যাখ্যান করে যা tun0ইন্টারফেসের মধ্য দিয়ে যায় না :

sudo iptables -A OUTPUT -m owner --gid-owner vpnroute \! -o tun0 -j REJECT

vpnrouteগোষ্ঠীর সদস্য হিসাবে সংক্রমণ প্রক্রিয়া শুরু করুন :

sudo -g vpnroute transmission-gtk &

1
আমি ঠিক এটিই খুঁজছিলাম। ধন্যবাদ!
তাইরাম

3
সতর্কতা: এটি ডেলিউজ, এএএএফসিটির সাথে কাজ করে না কারণ ডেলিউজ সুপার প্রক্রিয়া বন্ধ করে দেয়। আমি এটি যত্ন সহকারে পরীক্ষা করেছি এবং আমার সেটআপটি সঠিক su sudo -g vpnroute ping google.com 'টিউনটিজে পৌঁছাতে সক্ষম হবে না' যতক্ষণ না আমি টিউন-তে ভিপিএন সক্ষম করি। তবে ডিলিউজ ইউআই সর্বদা টরেন্ট ডাউনলোড করতে পারে, ভিপিএন সংযুক্ত আছে কি না। Pgrep -G vpnroute দিয়ে আমি এটি পেয়েছি কারণ কেবলমাত্র প্রাথমিক / usr / bin / পাইথন প্রক্রিয়াটি vpnroute GID এর অধীনে পরিচালিত হয়, প্রস্রাবিত জল-গিটক প্রক্রিয়াগুলি মনে হয় না।
হ্যাপিস্কেপটিক

10
এই পদক্ষেপের প্রতিটি কি ঠিক কি কেউ ব্যাখ্যা করতে পারে?
ohnoplus

2
সংক্রমণ একটি নির্দিষ্ট ঠিকানা শোনার ক্ষমতা রাখে - তবে একটি নির্দিষ্ট ইন্টারফেসে নয়। কমান্ড লাইন থেকে শুরু করা হলে, --bind-address-ipv4 $IP_ADDRট্রান্সমিশনকে কোন ঠিকানাটি আবদ্ধ করতে হবে তা বলবে। এর পরে ট্র্যাফিকটি সঠিক জায়গায় পৌঁছেছে তা নিশ্চিত করতে সঠিক রাউটিং বিধিগুলির প্রয়োজন requires আমি কীভাবে এটি পরিচালনা করেছিলাম তার জন্য এই প্রশ্নটি একবার দেখুন
সানলানো

3
@ ওহনোপ্লাস "ভিপিএনরোট" নামে একটি দল তৈরি করে; ফায়ারওয়াল নিয়ম যুক্ত করে যা ভিপিএন দিয়ে যায় না এমন গ্রুপের সদস্যদের দ্বারা তৈরি যে কোনও বহির্গামী নেটওয়ার্ক সংযোগ প্রত্যাখ্যান করে (ইন্টারফেস "টিউন 0" হিসাবে সংজ্ঞায়িত হলেও কিছু সিস্টেম আলাদা হতে পারে); "vpnroute" গ্রুপের সদস্য হিসাবে সঞ্চালন প্রক্রিয়া শুরু হয়।
টমিপীনাটস

4

এটি একটি শিরোনামহীন সংক্রমণের জন্য কাজ করে, আমি যে ট্রান্সমিশন পরিষেবাটি চালাচ্ছি তার উপর ভিত্তি করে ট্র্যাফিককে সীমাবদ্ধ রাখছি, 10.0.0.0/8আপনার অভ্যন্তরীণ নেটওয়ার্কটি আপনার নেটওয়ার্কের সাথে মিলে এটি পরিবর্তন করা উচিত, tun0এটি আপনার ওপেনভিপিএন ইন্টারফেস, eth0এটি আপনার ল্যান সংযোগ।

যোগ sudoকমান্ড, যদি আপনি রুট নয়:

iptables -F (আমরা বিদ্যমান বিদ্যমান নিয়মগুলি ফ্লাশ করতে -এফ স্যুইচটি ব্যবহার করেছি যাতে আমরা একটি পরিষ্কার রাষ্ট্র দিয়ে শুরু করি যা থেকে নতুন নিয়ম যুক্ত করা হয়))

iptables -L (বর্তমান সেটআপ তালিকাভুক্ত)

NET=10.0.0.0/8
GROUP=debian-transmission
IFACE_INTERNAL=eth0
IFACE_VPN=tun0
ALLOW_PORT_FROM_LOCAL=9091
iptables -A OUTPUT -d $NET -p tcp --sport $ALLOW_PORT_FROM_LOCAL -m owner --gid-owner $GROUP -o $IFACE_INTERNAL -j ACCEPT
iptables -A OUTPUT -d $NET -p udp --sport $ALLOW_PORT_FROM_LOCAL -m owner --gid-owner $GROUP -o $IFACE_INTERNAL -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner $GROUP -o $IFACE_VPN -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner $GROUP -o lo -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner $GROUP -j REJECT

পুনরায় আরম্ভের পরে iptables স্থির করুন

apt-get install iptables-persistent
service iptables-persistent start

এটি আমাকে নীচে দেয়: do sudo iptables -A OUTPUT -d 10.0.0.0/8 -p tcp --sport 9091 -m مالک --gid- মালিক ডেবিয়ান-ট্রান্সমিশন -o eth0 -j ACCEPT iptables v1.4.12: মালিক : "--জিড-মালিক" বিকল্পের জন্য খারাপ মূল্য: "ডিবিয়ান-সংক্রমণ" আমি কি কিছু হারিয়েছি?
ohnoplus

হ্যাঁ, @ অহনাপ্লাস :) আপনাকে প্রথমে গ্রুপ (বা মালিক) ডেবিয়ান-ট্রান্সমিশন তৈরি করতে হবে। এবং আপনি এই গ্রুপ বা ব্যবহারকারী: গ্রুপ হিসাবে অ্যাপ্লিকেশনটি চালাচ্ছেন তা নিশ্চিত করুন।
জোছিম

ট্রান্সমিশন রিমোট ওয়েব ইন্টারফেসটি সক্ষম করার জন্য আমার ঠিক এটি দরকার ছিল, ধন্যবাদ!
জেন হুপার

4

ডিবিয়ান-ট্রান্সমিশন ব্যবহারকারী গ্রুপ (যেমন ট্রান্সমিশন) কেবল ভিপিএন-এর মাধ্যমে ডেটা রুট করে কিনা তা নিশ্চিত করার জন্য এখানে নুবিএসের (ডিবিয়ান ব্যবহার করে) সম্পূর্ণ 'হাউ টু' রয়েছে

জটিল সিস্টেম স্ক্রিপ্টগুলির উপর ভিত্তি করে ভিপিএন এর জন্য আরও দীর্ঘ 'কীভাবে' ব্যবহার করবেন না ...! iptables সেরা (এবং বুদ্ধিমানের) পদ্ধতি !!! - ভিপিএন নিয়ন্ত্রণের জন্য ট্রান্সমিশন ব্যবহারকারী এবং গোষ্ঠীর উপর ভিত্তি করে একটি নতুন আইপিটিবল বিধিগুলি ব্যবহার করা (সিস্টেমড স্ক্রিপ্টগুলি উপরে এবং ডাউন স্ক্রিপ্টগুলি ব্যবহার করে এমন আরও অনেক জটিল 'হ্যাক' পদ্ধতির মতো নয় ...) এবং এটি খুব সহজ!

পদক্ষেপ 1 - সেটআপ: (ধরে নেওয়া যায় যে সংক্রমণ ইনস্টল করা আছে এবং ডেবিয়ান-ট্রান্সমিশন ব্যবহারকারী তাই বিদ্যমান!)

sudo apt-get install iptables
sudo apt-get install iptables-persistent

পদক্ষেপ 2 - সংক্রমণ-আইপি-বিধি ফাইল তৈরি করুন

sudo nano transmission-ip-rules

এবং নীচের কোড ব্লকের মধ্যে থেকে শুরু করে পাঠ্য যুক্ত করুন #!/bin/bash

গুরুত্বপূর্ণ

  • যদি আপনার স্থানীয় নেটওয়ার্ক ফর্মটি 192.168.1.x না হয় তবে আপনার নিজের স্থানীয় নেটওয়ার্ক ঠিকানা ঠিকানাটির সাথে সম্পর্কিত হয়ে নেট ভেরিয়েবলটি পরিবর্তন করুন !!
  • 192.168.1.0/25 প্রকৃতপক্ষে 192.168.1.0-255 পরিসীমা দেয় যে কৌতুক সম্পর্কে সচেতন হন!
  • কখনও কখনও আপনার ইন্টারফেস eth0, টিউন 0 (যা ভিপিএন) ইত্যাদি maybe হতে পারে ভিন্ন - 'ifconfig' দিয়ে পরীক্ষা করুন এবং প্রয়োজনে পরিবর্তন করুন।
#!/bin/bash
# Set our rules so the debian-transmission user group can only route through the vpn
NET=192.168.1.0/25
GROUP=debian-transmission
IFACE_INTERNAL=eth0
IFACE_VPN=tun0
ALLOW_PORT_FROM_LOCAL=9091
iptables -A OUTPUT -d $NET -p tcp --sport $ALLOW_PORT_FROM_LOCAL -m owner --gid-owner $GROUP -o $IFACE_INTERNAL -j ACCEPT
iptables -A OUTPUT -d $NET -p udp --sport $ALLOW_PORT_FROM_LOCAL -m owner --gid-owner $GROUP -o $IFACE_INTERNAL -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner $GROUP -o $IFACE_VPN -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner $GROUP -o lo -j ACCEPT
iptables -A OUTPUT -m owner --gid-owner $GROUP -j REJECT
# not needed - but added these to properly track data to these interfaces....when using iptables -L -v
iptables -A INPUT -i $IFACE_VPN -j ACCEPT
iptables -A INPUT -i $IFACE_INTERNAL -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# track any forward (NAT) data for completeness - don't care about interfaces
iptables -A FORWARD

ফাইলটি সংরক্ষণ করুন এবং তারপরে চালান

sudo iptables -F 
sudo chmod +x transmission-ip-rules
sudo ./transmission-ip-rules

তারপরে নিশ্চিত হয়ে নিন যে এই বিধিগুলি পুনরায় বুটের সাথে স্থির থাকে:

sudo dpkg-reconfigure iptables-persistent

এবং উভয় প্রম্পটে হ্যাঁ আলতো চাপুন। সম্পন্ন!

এই স্ক্রিপ্টটি সম্পর্কে দুর্দান্ত যে এটি ডিভাইসের মাধ্যমে সমস্ত ডেটা ট্র্যাক করবে! আপনি যখন ইস্যু

sudo iptables -L -v

এটি দেখায় যে কতটা ডেটা ইন্টারফেসে চলেছে এবং কোন দিকে INPUT বা OUTPUT যাতে আপনি নিশ্চিত হয়ে যেতে পারেন যে ভিপিএন স্ক্রিপ্টটি সঠিকভাবে কাজ করছে। যেমন;

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
1749K  661M ACCEPT     all  --  tun0   any     anywhere             anywhere                                                                                            
3416K 3077M ACCEPT     all  --  eth0   any     anywhere             anywhere                                                                                            
 362K  826M ACCEPT     all  --  lo     any     anywhere             anywhere                                                                                            

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0            all  --  any    any     anywhere             anywhere                                                                                            

Chain OUTPUT (policy ACCEPT 2863K packets, 2884M bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
 1260  778K ACCEPT     tcp  --  any    eth0    anywhere             192.168.1.0/                                                                                        25       tcp spt:9091 owner GID match debian-transmission
    0     0 ACCEPT     udp  --  any    eth0    anywhere             192.168.1.0/                                                                                        25       udp spt:9091 owner GID match debian-transmission
1973K 1832M ACCEPT     all  --  any    tun0    anywhere             anywhere                                                                                                     owner GID match debian-transmission
 8880  572K ACCEPT     all  --  any    lo      anywhere             anywhere                                                                                                     owner GID match debian-transmission
13132  939K REJECT     all  --  any    any     anywhere             anywhere                                                                                                     owner GID match debian-transmission reject-with icmp-port-unreachable

এই স্ক্রিপ্টটি ভিপিএন থেকে সংযোগ, সংযোগ বিচ্ছিন্নকরণ, রিবুটগুলি সম্পর্কে নিখরচায় পরীক্ষা করা হয়েছে। এটি দুর্দান্ত কাজ করে। সংক্রমণ কেবলমাত্র ভিপিএন ব্যবহার করতে পারে। অন্যদের থেকে এই স্ক্রিপ্টের দুর্দান্ত সুবিধাটি হ'ল আমি নিশ্চিত করেছি যে আপনি দেখতে পাচ্ছেন (মাধ্যমে)iptables -L -v) যা আপনার ডেটা ট্রান্সমিশনের উপরে টানা হয় (প্রতিটি ইন্টারফেস eth0, vpn (tun0)) এর জন্য INPUT (সমস্ত) এবং ফরোয়ার্ড (সমস্ত) বিধি যুক্ত করে tall তাই আপনি কি জানেন কি ঘটছে !!! ডেটার মোট পরিমাণ হ'ল সংক্রমণের সাথে মিলবে না - দুর্ভাগ্যক্রমে আমি ইনপুট দিকে ডিবিয়ান-ট্রান্সমিশন ব্যবহারকারীর সাথে বৈষম্য করতে পারি না এবং একই উপাধ্যক্ষ ও একই জাতীয় ভিপিএন ব্যবহার করে অতিরিক্ত প্রক্রিয়া উভয়ই থাকতে পারে তবে আপনি দেখতে পাবেন ডেটা মোটামুটি লম্বা ইনপুট দিকে এবং ভিপিএন এর কাজটি নিশ্চিত করার জন্য OUTPUT এর প্রায় অর্ধেক। আরেকটি বিষয় লক্ষণীয় - এটি একটি ভিপিএন সংযোগ বিচ্ছিন্ন হওয়ার সময় নেবে (সমস্ত ট্র্যাফিক ট্রান্সমিশনের সাথে থামবে) এবং নতুন ভিপিএন-এ 'যেতে' যেতে ট্রান্সমিশনের জন্য পুনরায় সংযোগ স্থাপন করবে তাই উদ্বেগ করবেন না যদি আবার টরেন্টিং শুরু করতে 5 মিনিট সময় লাগে .. ।

টিপ - গুগল 'ম্যান আইপেটেবলস' এবং আপনি যদি এই স্ক্রিপ্টটি কীভাবে কাজ করে তা লাইন দিয়ে জানতে চাইলে ব্যান্ডউইথ মনিটরিংয়ের এই নিবন্ধটি দেখুন ...


192.168.1.0/25 এর পরিসীমা 192.168.1.0-127।
জ্যাচারি 822

3

আদর্শভাবে আপনার একটি টরেন্ট ক্লায়েন্ট ব্যবহার করা উচিত যা একটি নির্দিষ্ট ইন্টারফেসের (ভিপিএন ইন্টারফেস) আবদ্ধ করার বৈশিষ্ট্যযুক্ত।

টরেন্ট ক্লায়েন্টদের মধ্যে ডেলিউজ এটি করে। সুতরাং আপনি ডেলিউজ ইনস্টল করতে পারেন এবং পছন্দগুলিতে ইন্টারফেসটি কনফিগার করতে পারেন এবং আপনি সেট হয়ে গেছেন!


আপনার উত্তরের জন্য ধন্যবাদ. আমি এই মুহুর্তের জন্য ট্রান্সমিশনটি ব্যবহারের পক্ষে আসলেই বেশ সেট হয়ে গেছি, আপনি কি জানেন যে ট্রান্সমিশনের সাথে নির্দিষ্ট ইন্টারফেস বা আইপি রেঞ্জের (তাই এটি কেবল ভিপিএন ব্যবহার করে) বাঁধাই সম্ভব কিনা? ধন্যবাদ!
ইভান

2
@ user4124 আপনি কী জানেন কীভাবে একটি নির্দিষ্ট নেটওয়ার্ক ইন্টারফেসে ডিলগডকে কমান্ড লাইন বা ওয়েবুইয়ের মাধ্যমে বাঁধতে হয়? যেহেতু কেউই ট্রান্সমিশন দিয়ে কীভাবে এটি করতে পারে বলে মনে হয় না, তাই আমি ডেলিউজ চেষ্টা করছিলাম তবে এখনও ভাগ্য হয়নি। ধন্যবাদ!
ইভান

3
@ ইভান আপনি আইপি ঠিকানাটি ডেলুজে listen_interfaceকনসোল বা নেটওয়ার্ক বিকল্পে ইন্টারফেসের সাথে যুক্ত করতে আইপি ঠিকানা নির্দিষ্ট করতে পারেন ।
ক্যাস

যদিও এটি সত্য তবে আমি মনে করি এটি এখনও খারাপ পরামর্শ, এমনকি যদি আপনার একমাত্র উদ্দেশ্যটি আপনার অবৈধ টরেন্ট ডাউনলোডগুলি লুকানো থাকে তবে আপনার ভিপিএন নাম প্রকাশ করা উচিত নয় এবং কেবলমাত্র একটি প্রোগ্রামের জন্য কাজ না করে সিস্টেম বিস্তৃত সমাধানগুলি সন্ধান করা উচিত।
redanimalwar
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.