Re: Настройки iptables для transmission

To: debian-russian@lists.debian.org
Subject: Re: Настройки iptables для transmission
From: Yuriy Kaminskiy <yumkam@mail.ru>
Date: Sat, 06 Feb 2010 17:25:42 +0300
Message-id: <[🔎] hkju55$40n$1@ger.gmane.org>
In-reply-to: <[🔎] 4B6D1270.6070100@gmail.com>
References: <[🔎] 4B6D1270.6070100@gmail.com>

On 06.02.2010 09:55, James Brown wrote:
> ОС - Lenny AMD64
> Transmission 1.22 (6191) (пакеты  transmission-gtk и  transmission-common)
чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет (1.70+),
magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet - полезна.
> iptables 1.4.2 
> 
> Схема подлкючения: компьютер подключен к роутеру (nat), который
> подключен к WAP.
> На роутере включена переадресация портов.
> /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался
> вручную настроить на роутере переадресацию портов на порт, указанный в
> настройках трансмишна, однако переадресация не включалась, порт на
> трансмишне оставлася закрытым. Соответственно, когда я включил на
> роутере UPnP, переадресация портов включилась, но почему-то шла на
> другие порты, нежели указанные в настройках трансмишна.
Во. А теперь, наверно, ты своим файрволом режешь UPnP. Ну и даже если бы и не,
transmission договаривался бы через UPnP об одних портах, а ты открываешь
другие. Я предпочёл вручную пробросить порты, и не включать UPnP (но тут у меня
были дополнительные соображения - экономия памяти на очень дохлом
adsl-модеме/роутере).

И у тебя порядок правил в файрволе неправильный.

Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому что
под него попадает подавляющее число пакетов);
потом отработка заведомо некорректных случаев (NEW !--syn, INVALID);
потом разрешение lo (можно наоборот);
потом открытие нужных портов;
потом запрет всех оставшихся, поначалу лучше с логгированием перед тем (и
вообще, для любого -j DROP -
iptables [...] -j LOG --log-prefix "почему> "
iptables [...] -j DROP;
потом, когда убедишься, что всё работает - можно особенно шумные -j LOG убрать);
OUTPUT лучше вообще поначалу не трогать (и если трогать - то первым правилом
тоже поставить ESTABLISHED,RELATED -j ACCEPT)
[...]
>     Видимо, я как-то неправильно определяю порты, которые нужно
> открывать в фаерволе?
>     Каким образом определить их для торрент-клиента?
открывать нужно входящий tcp и udp; исходящие должны и так работать;

PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно поглядеть кто
на torrents.ru аннонсирует порт 58663 ;-)

Reply to:

Follow-Ups:
- Re: Настройки iptables для transmission
  - From: James Brown <jbrownfirst@gmail.com>
- Re: Настройки iptables для transmission
  - From: Dmitry Marin <corvax@corvax.ru>
- Re: Настройки iptables для transmission
  - From: James Brown <jbrownfirst@gmail.com>

References:
- Настройки iptables для transmission
  - From: James Brown <jbrownfirst@gmail.com>

Prev by Date: Провайдер режет OpenVPN
Next by Date: Re: Подошва сапога
Previous by thread: Re: Настройки iptables для transmission
Next by thread: Re: Настройки iptables для transmission
Index(es):
- Date
- Thread