Как грамотно настроить iptables для работы с torrent

[Drizzly]

Гуглил...гуглил но проблему так и не решил. Буду благодарен помощи!

Есть сервер который раздает инет в локальную сеть связкой iptables+squid
После многочисленного чтения манов удалось настроить нормальную работу почты в локалке и открыть необходимые порты. Пытался по похожему принципу настроить порты для торрентов - не работает Ни на самой машине-сервере, ни на машинах-клиентах (Были перепробованы разные порты и разные торрент-клиенты)
Подскажите что я настроил не так
Плюч буду очень рад советам и замечаниям что я настроил криво и что можно улучшить

PS Больно не бейте, в Линуксе живу только вторую неделю
Мой iptables

(Нажмите, чтобы показать/скрыть)

#Попытка настроить iptables

*mangle
:PREROUTING ACCEPT [20160:10416251]
:INPUT ACCEPT [20115:10412965]
:FORWARD ACCEPT [45:3286]
:OUTPUT ACCEPT [19451:10533213]
:POSTROUTING ACCEPT [19491:10537757]
COMMIT

*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]

#ХЗ что значит эта строчка, но пусть будет
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Открыть порт для SSH
-A INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT

#Открыть порт для DNS
-A INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT
-A INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT

#Открыть порт для DHCP
-A INPUT -p tcp -m state -m tcp --dport 67 --state NEW -j ACCEPT
-A INPUT -p udp -m state -m udp --dport 67 --state NEW -j ACCEPT

#Открыть почтовые порты POP3 и DHCP
-A INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 110 --state NEW -j ACCEPT

#Открыть прты для служб NetBIOS
-A INPUT -p udp -m state -m udp --dport 137 --state NEW -j ACCEPT
-A INPUT -p udp -m state -m udp --dport 138 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 139 --state NEW -j ACCEPT

#Что-то связанное с печатью
-A INPUT -p tcp -m state -m tcp --dport 445 --state NEW -j ACCEPT

#Вот здесь хочу открыть порт для торрентов но почему-то не работает
-A INPUT -p tcp -m state -m tcp --dport 6681 --state NEW -j ACCEPT

#ХЗ что значит эта строчка, но пусть будет
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#Форвардинг почтовых пакетов
-A FORWARD -p tcp -m tcp -i eth0 -o eth1 --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp -i eth0 -o eth1 --dport 110 -j ACCEPT

#Форвардинг пакетов DNS
-A FORWARD -p tcp -m tcp -i eth0 -o eth1 --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp -i eth0 -o eth1 --dport 53 -j ACCEPT

#Форвардинг торрента - не работает
-A FORWARD -p tcp -m tcp -i eth0 -o eth1 --dport 6681 -j ACCEPT

COMMIT
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

#Направляем весь HTTP траффик на порт squid
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p udp -m udp --dport 80 -j REDIRECT --to-ports 3128

#
-A PREROUTING -p TCP --dport 8800:8810 -i ppp0 -j DNAT --to 192.168.0.2

#Настройка маскарадинга
-A POSTROUTING -o eth1 -j MASQUERADE

COMMIT

[uid0]

-A PREROUTING -i eth0 -p tcp -m tcp --dport 6681 -j DNAT --to-destination vash_ip

echo 1 > /proc/sys/net/ipv4/ip_dynaddr

[ploxish]

А если попробывать так
данная схера проброса портов для eth1 чтобы торенты видели и из локалки и из интеренета ppp0
где:  6681 пробрасываемый порт, 192.168.1.2- ip назначения (компъютер где работает торрент клиент)
ppp0 и eth1- внешние интрефейсы с кторых пробрасывать порт.
если оставить ppp0 то торренты будет видны тоько из интернета если eht0 то только из локалки
а с локальных пиров пророй получается качать со скоростью под 50 мбит.
Днанная конфигурация приведена для корбины-с успехом работает уже около 3х мес....

iptables -t nat -I PREROUTING -p udp --dport  6681 -j DNAT --to-destination 192.168.1.2: 6681
iptables -t nat -A PREROUTING -p tcp -m tcp --dport  6681 -i eth1 -j DNAT --to 192.168.1.2: 6681
iptables -A FORWARD -m tcp -p tcp -d 192.168.1.2 --dport  6681 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m tcp --dport  6681 -i ppp0 -j DNAT --to 192.168.1.2: 6681
iptables -A FORWARD -m tcp -p tcp -d 192.168.1.2 --dport  6681 -j ACCEPT

[Drizzly]

Не помог ни первый ни второй вариант

В первом случае никаких изменений не произошло
Во втором - при рестарте iptables начал ругаться на неправильный способ задания порта (не работало именно через двоеточие, убрал двоеточие - команда отработала, но пользы не принесла)

Еще варианты есть у кого-нибудь?
Пользователь решил продолжить мысль 31 Июля 2009, 14:05:43:Больше всего меня удивляет что даже если остановить iptables ничего не меняется. Казалось бы если нет файрволла, то все порты должны быть открыты. Однако что-то все равно блокирует этот порт.

Кто-нибудь может скинуть свой работающий конфиг iptables который бы разрешал скачивание с торрентов?

[uid0]

я дал рабочий конфиг

[ploxish]

тоже самое кусок конфига закопипастил со своего шлюза.
а может торрент клиент сидит не на том порте....

[uid0]

а провайдер ничего, часом, ничего не режет ?

[Drizzly]

Ай-яй....мой косяк.....проводил эксперименты с торрент-файлом, который оказался битым

По приведенной dj-patrik рекомендации заработали торрент (Bittorrent) на самой машине сервере (Fedora 7) и utorrent под виндовым клиентом. Azureus под Ubuntu 8.04 ругается

Код: [Выделить]

Проверка порта 6881 ...
NAT Ошибка - Connection to хх.хх.хх.хх:6881 (your computer) refused
Proxy IP is '192.168.10.20' but this is a local address ('Forwarded-For' request header was '192.168.10.20').192.168.10.20 - адрес машины с убунтой
 хх.хх.хх.хх - адрес сервера с федорой

Сейчас буду доковыривать эту проблему до конца

Всем большое спасибо за помощь!

[ssshurilla]

-A PREROUTING -i eth0 -p tcp -m tcp --dport 6681 -j DNAT --to-destination vash_ip

echo 1 > /proc/sys/net/ipv4/ip_dynaddr

как изменить правило для убунту сервер, у меня шлюз раздает адреса по DHCP, спасите нуба 

кстати, почему именно этот порт? нельзя интервал портов прописать?

P.S. торрент качает только 1 закачку , на загрузке пять, в настройках торрента мак число оновременных загруузок 8 , без шлюза так и грузились, а теперь проблема  и скорость закачки падает