Sziasztok!
Milyen portokat kell engedélyeznem, ha torrentezni szeretnék?
A torrentfluxban a
Port range: 49160 - 49300
Addig amíg megy a letöltés, addig megy a feltöltés is. Gondolom az ESTABLISHED, RELATED miatt. De utána megáll.
Tudna valaki segíteni, hogy a seed is menjen szépen?
Üdv: redman
- 1795 megtekintés
Hozzászólások
Szia.
Szerintem nálad más lesz a gond. Nálam ezek a portok vannak engedélyezve, és 2 hónapja megy minden tökéletesen!
=======================================================================================
"3 éve már próbálkoztam linux-al, de akkor még csak kód volt, így feladtam."
-Quotation single Ubuntu from a beginner.-
- A hozzászóláshoz be kell jelentkezni
Most cseréltem ki a tűzfal szkriptet. Elég kemény szabályozás lett. Előtte ment.
Ez van most:
$IPTABLES -A INPUT -j DROP
echo "INPUT szabályok beállítása .........[ OK ]"
## OUTPUT szabályok.
## loopback -en engedélyezzük a forgalmat.
$IPTABLES -A OUTPUT -o lo -j ACCEPT
## jóváhagyott kapcsolatok engedélyezése.
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## a DNS -re szükség van.
$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
## http mehet.
$IPTABLES -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
## https mehet
$IPTABLES -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
## ssh mehet.
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
## ftp mehet
$IPTABLES -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
## irc mehet
$IPTABLES -A OUTPUT -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
## rádió mehet
$IPTABLES -A OUTPUT -p tcp --dport 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
## ntp mehet
$IPTABLES -A OUTPUT -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
## rdate mehet
$IPTABLES -A OUTPUT -p tcp --dport 37 -m state --state NEW,ESTABLISHED -j ACCEPT
## gentoo rsync mehet
$IPTABLES -A OUTPUT -p tcp --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
## samba mehet
$IPTABLES -A OUTPUT -p tcp --dport 134:139 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 134:139 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
##kifele menõ "ping" -re szükség lehet.
$IPTABLES -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request
##Ami az eth1 en akar menni, az mehet
$IPTABLES -A OUTPUT -o eth1 -j ACCEPT
### logolás ###
$IPTABLES -A OUTPUT -j LOG --log-prefix " ez megy kifele: "
echo "OUTPUT szabályok beállítása ........[ OK ]"
## FORWARD szabályok.
## jóváhagyott kapcsolatok engedélyezése.
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## a DNS -re szükség van.
$IPTABLES -A FORWARD -p udp --dport 53 -m state --state NEW -j ACCEPT
## http mehet.
$IPTABLES -A FORWARD -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
## https mehet
$IPTABLES -A FORWARD -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
## ssh mehet.
$IPTABLES -A FORWARD -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
## ftp mehet
$IPTABLES -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
## Ha nem csak webes felületen szeretnénk levelezni.
$IPTABLES -A FORWARD -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 465 -m state --state NEW,ESTABLISHED -j ACCEPT
## irc mehet
$IPTABLES -A FORWARD -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
## rádió mehet
$IPTABLES -A FORWARD -p tcp --dport 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8200 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8210 -m state --state NEW,ESTABLISHED -j ACCEPT
## ntp mehet
$IPTABLES -A FORWARD -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
## rdate mehet
$IPTABLES -A OUTPUT -p tcp --dport 37 -m state --state NEW,ESTABLISHED -j ACCEPT
## msn mehet
$IPTABLES -A FORWARD -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 6891 -m state --state NEW,ESTABLISHED -j ACCEPT
## yahoo mehet
$IPTABLES -A FORWARD -p tcp --dport 5050 -m state --state NEW,ESTABLISHED -j ACCEPT
## gentoo rsync mehet
$IPTABLES -A FORWARD -p tcp --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
## gnome talk mehet
$IPTABLES -A FORWARD -p tcp --dport 5222 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 5223 -m state --state NEW,ESTABLISHED -j ACCEPT
##kifele menõ "ping" -re szükség lehet.
$IPTABLES -A FORWARD -p icmp -j ACCEPT --icmp-type echo-request
##Ami az eth1 en akar menni, az mehet
$IPTABLES -A FORWARD -o eth1 -j ACCEPT
### logolás ###
#$IPTABLES -A FORWARD -j LOG --log-prefix " ez megy át: "
echo "FORWARD szabályok beállítása .......[ OK ]"
echo "Kész!! Tuzfal: OK! .................[ OK ]"
echo "=========================================="
echo
Biztos lehetne még alakítani rajta. (Ha van ötlet szívesen fogadom.)
Ezt egy ubuntu-s fórum alapján csináltam. Ezúton is köszönöm a készítőnek!
- A hozzászóláshoz be kell jelentkezni
"## Ha nem csak webes felületen szeretnénk levelezni."
Ezekhez eleg a NEW, a kapcsolathoz tartozo csomagok bejonnek a
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
szamaly miatt.
S ahol a NEW csomagokat atengeded, ott mindenhol felesleges az ESTABLISHED.
"##kifele menõ "ping" -re szükség lehet.
$IPTABLES -A FORWARD -p icmp -j ACCEPT --icmp-type echo-request
"
Ez nem kimeno, hanem atmeno!
"##Ami az eth1 en akar menni, az mehet
$IPTABLES -A FORWARD -o eth1 -j ACCEPT "
Mi az eth1? Az internet interfesz? Publikus IP-je van? Ezzel az egy szaballyal feleslegesse tetted az osszes tobbit a FORWARD lancban. Bar ez fugg attolmi az eth1.
Nem derult ki szamomra, hogy ez egy gateway (de hol a natolas) vagy ez a sajat geped amirol nyomulsz, de akkor csodalkozom, hogy barmi is mukodik, ugyanis befelerogton az elso szaballyal letiltasz minden csomagot.
Melyik ubuntus forumon volt ez?
Mindegy, mielott barmit mondok adj meg kerlek egy ifconfig kimenetet, valamint, hogy ez milyen gepen van.
Celszeru meg a lancok default policyjet is beallitani.
jah, es erre vonatkozo szabalyok meg nincsennek is: 49160 - 49300
-
budacsik
- A hozzászóláshoz be kell jelentkezni
Szia!
Kicsit elnéztem, mert a kód fele lemaradt. :) Sorry, javítom is.
Igen ez egy gateway, amin fut egy torrentflux is.
eth0 internet
eth1 helyi háló
A kommentek nem mindig stimmelnek, mert az OUTPUT szabályokat alakítottam át, de a kommentet már nem. De jogos!
Az oldalt nem találom most, de tudom, hogy Te is hozzászóltál. :)
Valaki belinkelte ezt a scriptet, azt alakítottam át.
"jah, es erre vonatkozo szabalyok meg nincsennek is: 49160 - 49300"
ennek nem volt hatása. Vagy csak nem voltam elég türelmes? Kipróbálom.
- A hozzászóláshoz be kell jelentkezni
Valamiért nem tudom szerkeszteni, de ide bemásolom a teljes kódot
IPTABLES=iptables
echo
echo "=========================================="
echo "| :: TUZFAL BEALLITASA :: |"
echo "=========================================="
## elõször törlünk minden szabályt.
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
echo "Minden szabály törlése .............[ OK ]"
## felállítjuk az alap policyt.
## mindent tiltunk, amit külön nem engedélyezünk.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
echo "Alap szabályok beállítása ..........[ OK ]"
#Natolás beállítása
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
## megnézzük vannak -e modulok, amiket betöltünk.
## az ftp követõ modul, betölti majd a többi modult.
if [ -f $MODKT/ip_conntrack_ftp.ko ]
then MOD=ip_conntrack_ftp ;
$MODPROBE $MOD
fi
echo "Modulok betöltése ..................[ OK ]"
## figyeljük a syn sütiket
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "Anti-synflood védelem ..............[ OK ]"
## bekapcsoljuk a forráscímhitelesítést.
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
#for spoofing in /proc/sys/net/ipv4/conf/default/rp_filter; do
# echo "1" > $spoofing
#done
echo "Anti-spoofing védelem ..............[ OK ]"
## INPUT szabályok.
## loopback -en engedélyezzük a forgalmat.
$IPTABLES -A INPUT -i lo -j ACCEPT
## engedélyezzük befele, ami tõlünk származik.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## figyeljük, hogy a tcp kapcsolatok, tényleg a syn bittel kezdõdjenek.
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
## kintrõl ssh hozzáférést akarunk.
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
## kintrõl ftp hozzáférést akarunk.
#$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
## kintrõl samba hozzáférést akarunk.
$IPTABLES -A INPUT -p tcp -i eth1 --dport 134:139 -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth1 --dport 134:139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i eth1 --dport 445 -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth1 --dport 445 -j ACCEPT
## DNS akarunk.
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
#Kintről http hozzáférés
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 443 -j ACCEPT
## kintrõl "ping" mehet.
$IPTABLES -A INPUT -p icmp -j ACCEPT --icmp-type echo-request
## igaz , hogy a forráscímhitelesítés be van kapcsolva,
## de azért biztosra megyünk. A hamis IP címeket kiszûrjük.
$IPTABLES -A INPUT -i IFACE -j REJECT
## ami jönne, azt loggoljuk:
$IPTABLES -A INPUT -j LOG --log-prefix "nem kellene bejonnie: "
## utána eldobjuk. Igaz, hogy az alap szabály drop, de azért biztosra megyünk:
$IPTABLES -A INPUT -j DROP
echo "INPUT szabályok beállítása .........[ OK ]"
## OUTPUT szabályok.
## loopback -en engedélyezzük a forgalmat.
$IPTABLES -A OUTPUT -o lo -j ACCEPT
## jóváhagyott kapcsolatok engedélyezése.
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## a DNS -re szükség van.
$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
## http mehet.
$IPTABLES -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
## https mehet
$IPTABLES -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
## ssh mehet.
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
## ftp mehet
$IPTABLES -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
## irc mehet
$IPTABLES -A OUTPUT -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
## rádió mehet
$IPTABLES -A OUTPUT -p tcp --dport 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
## ntp mehet
$IPTABLES -A OUTPUT -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
## rdate mehet
$IPTABLES -A OUTPUT -p tcp --dport 37 -m state --state NEW,ESTABLISHED -j ACCEPT
## gentoo rsync mehet
$IPTABLES -A OUTPUT -p tcp --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
## samba mehet
$IPTABLES -A OUTPUT -p tcp --dport 134:139 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 134:139 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
##kifele menõ "ping" -re szükség lehet.
$IPTABLES -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request
##Ami az eth1 en akar menni, az mehet
$IPTABLES -A OUTPUT -o eth1 -j ACCEPT
### logolás ###
$IPTABLES -A OUTPUT -j LOG --log-prefix " ez megy kifele: "
echo "OUTPUT szabályok beállítása ........[ OK ]"
## FORWARD szabályok.
## jóváhagyott kapcsolatok engedélyezése.
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## a DNS -re szükség van.
$IPTABLES -A FORWARD -p udp --dport 53 -m state --state NEW -j ACCEPT
## http mehet.
$IPTABLES -A FORWARD -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
## https mehet
$IPTABLES -A FORWARD -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
## ssh mehet.
$IPTABLES -A FORWARD -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
## ftp mehet
$IPTABLES -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
## Ha nem csak webes felületen szeretnénk levelezni.
$IPTABLES -A FORWARD -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 465 -m state --state NEW,ESTABLISHED -j ACCEPT
## irc mehet
$IPTABLES -A FORWARD -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
## rádió mehet
$IPTABLES -A FORWARD -p tcp --dport 8000 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8200 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8210 -m state --state NEW,ESTABLISHED -j ACCEPT
## ntp mehet
$IPTABLES -A FORWARD -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
## rdate mehet
$IPTABLES -A OUTPUT -p tcp --dport 37 -m state --state NEW,ESTABLISHED -j ACCEPT
## msn mehet
$IPTABLES -A FORWARD -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 6891 -m state --state NEW,ESTABLISHED -j ACCEPT
## yahoo mehet
$IPTABLES -A FORWARD -p tcp --dport 5050 -m state --state NEW,ESTABLISHED -j ACCEPT
## gentoo rsync mehet
$IPTABLES -A FORWARD -p tcp --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
## gnome talk mehet
$IPTABLES -A FORWARD -p tcp --dport 5222 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 5223 -m state --state NEW,ESTABLISHED -j ACCEPT
##kifele menõ "ping" -re szükség lehet.
$IPTABLES -A FORWARD -p icmp -j ACCEPT --icmp-type echo-request
##Ami az eth1 en akar menni, az mehet
$IPTABLES -A FORWARD -o eth1 -j ACCEPT
### logolás ###
#$IPTABLES -A FORWARD -j LOG --log-prefix " ez megy át: "
echo "FORWARD szabályok beállítása .......[ OK ]"
echo "Kész!! Tuzfal: OK! .................[ OK ]"
echo "=========================================="
echo
- A hozzászóláshoz be kell jelentkezni
Így már jobban néz ki :)
(mivel én sem vagyok iptables guru, ne vedd kézpénznek amit lentebb írtam, csak segíteni próbálok. Vakon semmit ne csinálj úgy)
"
## figyeljük, hogy a tcp kapcsolatok, tényleg a syn bittel kezdõdjenek.
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
"
Most lehet baromság lesz, kérném javítsanak ki ha az. Én ezt máshogy írnam:
$IPTABLES -A INPUT -p tcp ! --syn -j DROP
Azért, mert a már kiépített kapcsolatokat beengedted, ezért szerintem már csak SYS-es csomagok jöhetnének. A Te szabályod azt mondja, hogy ha új csomag, de nem syn akkor dobod el. Ez rossz csomag, talan portscannelésre használnak ilyet.
"## kintrõl samba hozzáférést akarunk."
Biztos? Internet felől?
"## DNS akarunk.
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT"
Üzemeltetsz DNS szervert? Ha igen akkor is elég az udp.
"#Kintről http hozzáférés"
Itt pedig elég a tcp.
"$IPTABLES -A INPUT -i IFACE -j REJECT"
Ezt nem értem.
Az OUTPUT láncban:
Ahol a NEW szerepel, ne tedd utána az ESTABLISH-t. Úgy is visszajön.
Valamint kell neked egy gatewayről kifelé ssh, ftp, radio, irc, samba ...?
FORWARD lánc
Itt célszerű megadni a -i és -o lehetőségeket is, a jobb filter érdekében. Pl a DNS kéréseket csak lan felől internet felé engedd stb...
Levelezés: titkosított és titkosítatlan SMTP, POP3 és IMAP-ot is használsz egyszerre? Ami nem kell szedd ki szerintem.
NTP: szerintem csak UDP kell.
Végül ha a tűzfalad jól be van lőve akkor a láncok végéről kiveheted, hogy mindent loggol.
Szerk.: Azt mondtad a torrenthez ez kell: 49160 - 49300
De még mindig nem látok ilyen sort:
$IPTABLES -A FORWARD -i eth1 -o eth0 -p udp --dport 49160:49300 -j ACCEPT
(ha tudod még a forrás portot meghatározhatod.)
-
budacsik
- A hozzászóláshoz be kell jelentkezni
Betettem a megfeleő sort:
$IPTABLES -A INPUT -p tcp --dport 49160:49300 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 49160:49300 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 49160:49300 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 49160:49300 -j ACCEPT
de így sem megy.
Megnézem amiket írtál. Köszi
""$IPTABLES -A INPUT -i IFACE -j REJECT"
Ezt nem értem."
Ezt én sem. :) Kiveszem. De szerintem az eth0 akar lenni.
""## kintrõl samba hozzáférést akarunk."
Biztos? Internet felől?"
Nem, a lan felől. Beteszem még azt, hogy -i eth1
Üdv: redman
- A hozzászóláshoz be kell jelentkezni
$IPTABLES -A INPUT -p tcp --dport 49160:49300 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 49160:49300 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 49160:49300 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 49160:49300 -j ACCEPT
Nem jó! Ez a gw gép. Ezek a szabályok akkor lennének jók, ha ezen a épen torrenteznél.
De "mögötte" akarsz torrentezni, ami ennek a gépnek átmenő forgalom. Vagyis FORWARD lánc.
Töröld ki ezt a fenti 4 sort.
És ezt tedd be:
$IPTABLES -A FORWARD -p tcp --dport 49160:49300 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 49160:49300 -j ACCEPT
De ez nem csak UDP forgalom? Szerintem a TCP-s sor nem kell. Valamint meg kell még határozni az irányát, tehát lan -> internet. Vissza felé ez nem kell szerintem. Úgyhogy helyesen:
$IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport 49160:49300 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -o eth0 -p udp --dport 49160:49300 -j ACCEPT
Ez csak a lan-os gépről engedi ki a megfelelő csomagokat.
"Ezt én sem. :) Kiveszem. De szerintem az eth0 akar lenni."
Valószínűleg igen,ilyen formában:
IFACE="eth0"
$IPTABLES ... $IFACE ...
-
budacsik
- A hozzászóláshoz be kell jelentkezni
Bár gw gép, de ezen torrentezem.
Elfelejtettem mondani.
Bár nem árt, ha mögötte is megy.
- A hozzászóláshoz be kell jelentkezni
Jaa, nem volt világos a felállás. Így már értem miért van az Output láncban is annyi szabály.
Viszont akkor mennie kellene, ha ezek a portok kellenek neki.
Egy dolgot tudsz még tenni, hogy amikor megnyitod a torrent klienst és elkezdesz torrentezni, figyeld, hogy milyen logok vannak, abban ugyanis látod mit dob el, ami alapján már tudsz további szabályokat felállítani.
-
budacsik
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni