Re: Настройки iptables для transmission

To: debian-russian@lists.debian.org
Cc: debian-russian@lists.debian.org
Subject: Re: Настройки iptables для transmission
From: James Brown <jbrownfirst@gmail.com>
Date: Sat, 06 Feb 2010 15:05:04 +0000
Message-id: <[🔎] 4B6D8520.8000501@gmail.com>
In-reply-to: <[🔎] hkju55$40n$1@ger.gmane.org>
References: <[🔎] 4B6D1270.6070100@gmail.com> <[🔎] hkju55$40n$1@ger.gmane.org>

Yuriy Kaminskiy wrote:
> On 06.02.2010 09:55, James Brown wrote:
>   
>> ОС - Lenny AMD64
>> Transmission 1.22 (6191) (пакеты  transmission-gtk и  transmission-common)
>>     
> чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет (1.70+),
> magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet - полезна.
>   
Да я как бы вкурсе, что древняя, я уже некоторое время думаю, на что ее
заменить.
Как думаете, стоит ли поставить 1.77 с бэкпортс, или что еще выбрать?
Кто-то мне говорил, что какая то версия 1.80+ из убунтоидных
репозиториев у него вроде неплохо работает.
Пробовал ставить делюгу, мне очень понравился ее интерфейс, но она
похоже в дистре ленни еще более древняя, и совсем не хотела работать :)
Поэтому я ее снес. На бэкпортс не нахожу более нового, видимо надо
опять-таки или на убунтушных искать, или самому компилить?
P.S. Последнее я еще ни разу, за почти год моего линуксоидства, не
пробовал, но надо когда-то начинать видимо :-)
>> iptables 1.4.2 
>>
>> Схема подлкючения: компьютер подключен к роутеру (nat), который
>> подключен к WAP.
>> На роутере включена переадресация портов.
>> /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался
>> вручную настроить на роутере переадресацию портов на порт, указанный в
>> настройках трансмишна, однако переадресация не включалась, порт на
>> трансмишне оставлася закрытым. Соответственно, когда я включил на
>> роутере UPnP, переадресация портов включилась, но почему-то шла на
>> другие порты, нежели указанные в настройках трансмишна.
>>     
> Во. А теперь, наверно, ты своим файрволом режешь UPnP. Ну и даже если бы и не,
> transmission договаривался бы через UPnP об одних портах, а ты открываешь
> другие. Я предпочёл вручную пробросить порты, и не включать UPnP (но тут у меня
> были дополнительные соображения - экономия памяти на очень дохлом
> adsl-модеме/роутере).
>   
А сколько портов ему (торрент-клиенту) вообще надо? Один? Или несколько?
Т.е. я должен прописать проброс одного и того же (одних и тех же)
порта(ов) на рутере, в iptables  и в клиенте?
А какого тогда вопрос? Если в клиенте прописан один порт, а
пробрасывается другой?
Я ведь делал так (правда из соображений безопасности, типа если кто
поставит трояна, а я еще не замечу, чтобы этот троян не мог проброс
портов сделать). И указывал порт, который указан в клиенте. И не
открывался он!!!
Или это чисто глюк древного трансмишна?
> И у тебя порядок правил в файрволе неправильный.
>
> Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому что
> под него попадает подавляющее число пакетов);
>   
А если "нечаянно" (точнее, из-за неправильного определения последующих
настроек) установиться нежелательное соединение? Или от него я уже таким
путем не спасусь?
> потом отработка заведомо некорректных случаев (NEW !--syn, INVALID);
> потом разрешение lo (можно наоборот);
> потом открытие нужных портов;
> потом запрет всех оставшихся, поначалу лучше с логгированием перед тем (и
> вообще, для любого -j DROP -
> iptables [...] -j LOG --log-prefix "почему> "
> iptables [...] -j DROP;
> потом, когда убедишься, что всё работает - можно особенно шумные -j LOG убрать);
> OUTPUT лучше вообще поначалу не трогать (и если трогать - то первым правилом
> тоже поставить ESTABLISHED,RELATED -j ACCEPT)
> [...]
>   
Премного благодарен за совет.  Буду его курить.
P.S. Где бы найти умное, подробное и в то же время доступное руководство
по iptables?
http://www.opennet.ru/docs/RUS/iptables/
http://www.xakep.ru/magazine/xs/058/066/1.asp - это конечно все хорошо,
но на этих материалах, по-моему, нельзя научиться создавать сложные
цепочки правил для iptables.
>>     Видимо, я как-то неправильно определяю порты, которые нужно
>> открывать в фаерволе?
>>     Каким образом определить их для торрент-клиента?
>>     
> открывать нужно входящий tcp и udp; исходящие должны и так работать;
>   
Пасибо. Но один порт? Или их д.б. несколько? С учетом вышеизложенного, я
так и не понял.
По-видимому, это глюк клиента, который надо менять на более новую версию.
> PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно поглядеть кто
> на torrents.ru аннонсирует порт 58663 ;-)
>
>   
Дерзай! Только почему именно этот порт и именно torrents.ru? :-P  Я ведь
мог для рассылки специально указать другой и могу пользоваться другими
трекерами, не?

Reply to:

Follow-Ups:
- Re: Настройки iptables для transmission
  - From: Yuriy Kaminskiy <yumkam@mail.ru>

References:
- Настройки iptables для transmission
  - From: James Brown <jbrownfirst@gmail.com>
- Re: Настройки iptables для transmission
  - From: Yuriy Kaminskiy <yumkam@mail.ru>

Prev by Date: Re: Провайдер режет OpenVPN
Next by Date: Re: Настройки iptables для transmission
Previous by thread: Re: Настройки iptables для transmission
Next by thread: Re: Настройки iptables для transmission
Index(es):
- Date
- Thread