LINUX.ORG.RU
решено ФорумAdmin

и снова Torrent через iptables


0

1

Доброго времени суток.

Я таки сильно извиняюсь, прочитал кучу подобных тем, в том числе и на этом форуме, но решение найти не смог (видимо, руки не под то заточены).

Суть проблемы: Имеем сеть вида «Интернет - роутер - точка доступа на Fedora 15 - ноутбук на Win 7». Задача - полноценно работающий торрент-клиент на Win 7. Торрент качает, тест говорит, что сеть настроена правильно, но раздача не идёт.

На роутере (ASUS RX3041) имеется NAT и настроен проброс порта 62679 на внутренний IP 192.168.1.3. Наружу роутер смотрит на провайдера выделенным ему IP, внутрь показывает IP 192.168.1.1 и раздает IP из подсети 255.255.255.0. По адресу 192.168.1.3 живёт Fedora 15, настроенная в качестве WiFi Access Point. Интерфейс eth0 смотрит на роутер, интерфейс wlan0 смотрит на wifi-клиентов и имеет IP 10.0.0.1 и маску 255.255.255.0.

iptables -L -n -v -t nat --line-number

Chain PREROUTING (policy ACCEPT 2353 packets, 227K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      666 34016 DNAT       tcp  —  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62679 to:10.0.0.2
2        4   689 DNAT       udp  —  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:62679 to:10.0.0.2

Chain INPUT (policy ACCEPT 32 packets, 6885 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 92 packets, 36488 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 597 packets, 62485 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     437K   36M MASQUERADE  all  —  *      eth+    0.0.0.0/0            0.0.0.0/0

iptables -L -n -v -t filter --line-number


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     234K  113M ACCEPT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2       71  5819 ACCEPT     icmp —  *      *       0.0.0.0/0            0.0.0.0/0
3        7   600 ACCEPT     all  —  lo     *       0.0.0.0/0            0.0.0.0/0
4    45308 5698K ACCEPT     all  —  eth+   *       0.0.0.0/0            0.0.0.0/0
5     8315 1515K ACCEPT     all  —  wlan+  *       0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:53
7        0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:53
8        0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
9        0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:993
10       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
11       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            224.0.0.251         state NEW udp dpt:5353
12       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:1194
13       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:995
14       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
15       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
16       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
17       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
18       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
19       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
20       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
21       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
22       0     0 ACCEPT     udp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:69
23       0     0 ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
24       0     0 REJECT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     104M  101G ACCEPT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2       24   984 ACCEPT     icmp —  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  —  lo     *       0.0.0.0/0            0.0.0.0/0
4      908 47105 ACCEPT     all  —  eth+   *       0.0.0.0/0            0.0.0.0/0
5     664K   49M ACCEPT     all  —  wlan+  *       0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     all  —  *      eth+    0.0.0.0/0            0.0.0.0/0
7        0     0 REJECT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 21819 packets, 27M bytes)
num   pkts bytes target     prot opt in     out     source               destination

iptables -S

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth+ -j ACCEPT
-A INPUT -i wlan+ -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -d 224.0.0.251/32 -p udp -m state --state NEW -m udp --dport 5353 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth+ -j ACCEPT
-A FORWARD -i wlan+ -j ACCEPT
-A FORWARD -o eth+ -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

На Win 7 ничего особенного нет. IP 10.0.0.2

Собственно, вопрос: подскажите пожалуйста, где и что я, криворучка, неправильно сделал? Заранее спасибо и простите за очередную тему про torrent и iptables.

Во-первых, заменить -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT на -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT. Это гарантирует, что будет пропущен весь трафик, который помечен для DNAT. Во-вторых, что говорит tcpdump -i wlan0 -nn port 62679 при включенном торрент-клиенте? Если ничего - значит трафик не пробрасывается. Если есть пакеты, значит проблема не в файрволле...

Pinkbyte ★★★★★ ()

>Задача - полноценно работающий торрент-клиент на Win 7

1) попробуй переустановить шиндошс. если не получится, то попробуй ещё раз 2) когда надоест, попробуй поднять там роутере упнп 3) если не получится, то проброс портов почти наверняка можно осуществить через веб-интерфейс

xsektorx ★★★ ()
Ответ на: комментарий от Pinkbyte

Правило заменил.

tcpdump -i wlan0 -nn port 62679


13:22:43.764921 IP 10.0.0.2.62679 > 85.141.227.236.18878: UDP, length 30
13:23:01.091786 IP 178.70.147.239.38759 > 10.0.0.2.62679: UDP, length 30
13:23:01.092511 IP 10.0.0.2.62679 > 178.70.147.239.38759: UDP, length 30
13:23:01.098168 IP 178.70.147.239.38759 > 10.0.0.2.62679: UDP, length 88
13:23:01.098985 IP 10.0.0.2.62679 > 178.70.147.239.38759: UDP, length 639
13:23:01.104169 IP 178.70.147.239.38759 > 10.0.0.2.62679: UDP, length 20
13:23:01.104686 IP 10.0.0.2.62679 > 178.70.147.239.38759: UDP, length 20

bahusdivus ()
Ответ на: комментарий от bahusdivus

трафик ходит в оба конца. файрволл настроен верно - курите проблему на клиентской стороне

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Спасибо, проблема решена, сам дурак оказался. Проброс на роутере был выключен.

bahusdivus ()
Ответ на: комментарий от bahusdivus

рад что все получилось. пометь тему решенной, пожалста

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.