URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91115
[ Назад ]
Исходное сообщение
"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено Vidock , 10-Мрт-11 02:18 
Не идет раздача, правила:
*filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
*nat
-A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
-A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
-A POSTROUTING  -p tcp -m tcp -s 192.168.0.10 --dport 62315 -j MASQUERADE
-A POSTROUTING  -p udp -m udp -s 192.168.0.10 --dport 62315 -j MASQUERADE

где 192.168.0.10 ip локалки (пример)
10.0.0.1 - тырнет
62315 -  порт торрент клиента

Причем, если допустим в DNAT прописываю порт RDP, он цепляется, т.е. правило рабочее. А вот отдачи на торрент клиенте не идет.
Маршрутизация влючена.

Содержание
Сообщения в этом обсуждении
"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено reader , 10-Мрт-11 17:22 
какую раздачу подразумеваете, которую начинает машина из локалки (192.168.0.10) или ту что пытается начать подключающийся из инета?
"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено Vidock , 11-Мрт-11 02:05 
> какую раздачу подразумеваете, которую начинает машина из локалки (192.168.0.10) или ту
> что пытается начать подключающийся из инета?

машина из локалки (192.168.0.10) закачивает, но не раздает, т.е. нет исходящего трафика. Сам торрент клиент, говорит, что все порты открыты.

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено tux2002 , 11-Мрт-11 10:22 
> Не идет раздача, правила:
> *filter
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> *nat
> -A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
> -A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
> -A POSTROUTING  -p tcp -m tcp -s 192.168.0.10 --dport 62315 -j
> MASQUERADE
> -A POSTROUTING  -p udp -m udp -s 192.168.0.10 --dport 62315 -j
> MASQUERADE

если хост с ip 10.0.0.1 является шлюзом по умолчанию для 192.168.0.10, то в POSTROUTING лучше не писать правила, DNAT сам сделает ответное преобразование. Но маршрут по умолчанию от 192.168.0.10 должен показывать на тырнет.


> где 192.168.0.10 ip локалки (пример)
> 10.0.0.1 - тырнет
> 62315 -  порт торрент клиента
> Причем, если допустим в DNAT прописываю порт RDP, он цепляется, т.е. правило
> рабочее. А вот отдачи на торрент клиенте не идет.
> Маршрутизация влючена.

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено reader , 11-Мрт-11 10:47 
раздача может происходить в 2-х вариантах.

1 - раздачу инициирует машина в локалки.
2 - раздачу инициирует машина подключившаяся из инета.
по хорошему лучше что бы оба варианта работали.

для этих вариантов нужны разные правила в iptables

1 вариант. ваш клиент инициирует раздачу. раздача идет с разных портов, а не только с 62315 , поэтому в правилах SNAT порт указывать нельзя. DNAT для этого варианта не нужен, но машины в инете, находящиеся за NAT и не использующие DNAT, с вами работать не смогут.

2 вариант. раздача идет с 62315 порта, но инициирует раздачу машина из инета, а это значит что iptables должен из инета к вашему клиенту пропустить и пакеты со статусом NEW.
для этого нужен DNAT, а вот SNAT тут не нужен.

соответственно лучше делать и SNAT и DNAT, но в таблице фильтров еще разрешить и пакеты со статусом NEW идущие к 192.168.0.10:62315

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено Vidock , 12-Мрт-11 04:19 
> раздача может происходить в 2-х вариантах.
> 1 - раздачу инициирует машина в локалки.
> 2 - раздачу инициирует машина подключившаяся из инета.
> по хорошему лучше что бы оба варианта работали.

Прописал:
*filter
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT
-A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT
*nat
-A POSTROUTING -s 192.168.0.10 --out-interface eth1 -j SNAT  --to-source 10.0.0.1
-A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
-A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315

не помагло =(

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено PavelR , 12-Мрт-11 08:44 
>[оверквотинг удален]
>> 2 - раздачу инициирует машина подключившаяся из инета.
>> по хорошему лучше что бы оба варианта работали.
> Прописал:
> *filter
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> *nat
> -A POSTROUTING -s 192.168.0.10 --out-interface eth1 -j SNAT  --to-source 10.0.0.1
> -A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
> -A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315
> не помагло =(

ну и не должно было.

не так:

> -A INPUT -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315
> --state NEW -j ACCEPT
> -A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315
> --state NEW -j ACCEPT

а вот так:

-A FORWARD  <...и далее по тексту..>

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено Vidock , 14-Мрт-11 06:05 
> не так:
>> -A INPUT -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315
>> --state NEW -j ACCEPT
>> -A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315
>> --state NEW -j ACCEPT
> а вот так:
> -A FORWARD  <...и далее по тексту..>

Прописал:
-A FORWARD -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT
-A FORWARD -p udp -m udp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT
Не помагло

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено PavelR , 14-Мрт-11 07:39 
>[оверквотинг удален]
>>> -A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315
>>> --state NEW -j ACCEPT
>> а вот так:
>> -A FORWARD  <...и далее по тексту..>
> Прописал:
> -A FORWARD -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315
> --state NEW -j ACCEPT
> -A FORWARD -p udp -m udp -m state -d 192.168.0.10 --dport 62315
> --state NEW -j ACCEPT
> Не помагло

iptables -F FORWARD
iptables -P FORWARD ACCEPT

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено Vidock , 14-Мрт-11 08:23 
> iptables -F FORWARD
> iptables -P FORWARD ACCEPT

безрезультатно.
раздача стоит... =(

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено PavelR , 14-Мрт-11 08:39 
>> iptables -F FORWARD
>> iptables -P FORWARD ACCEPT
> безрезультатно.
> раздача стоит... =(

откройте для себя волшебный мир команды tcpdump.

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено Vidock , 14-Мрт-11 09:15 
>>> iptables -F FORWARD
>>> iptables -P FORWARD ACCEPT
>> безрезультатно.
>> раздача стоит... =(
> откройте для себя волшебный мир команды tcpdump.

А что открывать, пакеты постоянно летят в обе стороны по .
Если немного уточнить, на клиенте uTorren, при перезапуске iptables или раздачи, куча пиров начинает закачку (клиент начинает раздачу)со скоростью сначало 0,3, потом 0,2, потом 0. Тоесть пир конектиться и тут же отваливается, раздача не идет.
В tcpdump все красиво.

tcpdump -n -i eth1 src 10.0.0.1 and port 62315

16:10:58.436384 IP 10.0.0.1.62315 > 2.60.243.60.62491: . ack 1737 win 65212
16:10:58.452697 IP 10.0.0.1.62315 > 109.191.9.174.49684: . ack 16398 win 192
16:10:58.467712 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 9713 win 222 <nop,nop,timestamp 46098370 42262527>
16:10:58.486375 IP 10.0.0.1.62315 > 195.42.131.4.ianywhere-dbns: . ack 3976612479 win 52635
16:10:58.499976 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 12609 win 210 <nop,nop,timestamp 46098373 42262548>
16:10:58.512382 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 15505 win 199 <nop,nop,timestamp 46098374 42262551>
16:10:58.579860 IP 10.0.0.1.62315 > 178.166.137.147.56725: F 140:140(0) ack 622 win 258
16:10:58.664318 IP 10.0.0.1.62315 > 80.240.209.36.58972: UDP, length 20
16:10:58.672057 IP 10.0.0.1.62315 > 91.204.228.148.59201: . ack 16398 win 192
16:10:58.739053 IP 10.0.0.1.62315 > 91.201.114.41.47887: . ack 5121 win 254 <nop,nop,timestamp 46098397 1371064892>
16:10:58.814659 IP 10.0.0.1.62315 > 178.204.194.34.diameter: . ack 1133049661 win 209 <nop,nop,timestamp 46098404 739519>
16:10:58.814773 IP 10.0.0.1.62315 > 212.178.0.212.46293: . ack 567297591 win 209
16:10:58.831883 IP 10.0.0.1.62315 > 178.166.137.147.56725: . ack 623 win 258
16:10:58.838978 IP 10.0.0.1.62315 > 92.243.69.137.mpshrsv: . ack 264 win 65226
16:10:58.849368 IP 10.0.0.1.62315 > 178.166.137.147.11204: UDP, length 181
16:10:58.894039 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 16398 win 196 <nop,nop,timestamp 46098412 42262571>
16:10:58.949318 IP 10.0.0.1.62315 > 83.149.244.16.13703: UDP, length 20
16:10:58.985052 IP 10.0.0.1.62315 > 85.21.236.148.48338: S 2745427216:2745427216(0) ack 2684483768 win 8192 <mss 1460,nop,wscale 8,sackOK,timestamp 46098421 15901951>

"Проброс порта для торрент-клиента uTorrent через Iptables"
Отправлено reader , 14-Мрт-11 11:30 
> tcpdump -n -i eth1 src 10.0.0.1 and port 62315

плохо что показали только в одну сторону.
eth1 - это внутренний или внешний интерфейс?

кусок маленький, но предположу что соединение не было установлено


> 16:10:58.467712 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 9713 win 222 <nop,nop,timestamp
> 46098370 42262527>
> 16:10:58.499976 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 12609 win 210 <nop,nop,timestamp
> 46098373 42262548>
> 16:10:58.512382 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 15505 win 199 <nop,nop,timestamp
> 46098374 42262551>
> 16:10:58.894039 IP 10.0.0.1.62315 > 212.12.0.109.33084: . ack 16398 win 196 <nop,nop,timestamp
> 46098412 42262571>

с uTorren не знаком, так что если там есть что-то необычное укажите