https://www.opennet.ru/openforum/vsluhforumID1/91115.html Не идет раздача, правила:<br>*filter<br>-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br>*nat<br>-A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315<br>-A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315 <br>-A POSTROUTING -p tcp -m tcp -s 192.168.0.10 --dport 62315 -j MASQUERADE<br>-A POSTROUTING -p udp -m udp -s 192.168.0.10 --dport 62315 -j MASQUERADE<br><br>где 192.168.0.10 ip локалки (пример)<br>10.0.0.1 - тырнет<br>62315 - порт торрент клиента<br><br>Причем, если допустим в DNAT прописываю порт RDP, он цепляется, т.е. правило рабочее. А вот отдачи на торрент клиенте не идет. <br>Маршрутизация влючена.<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#12 Mon, 14 Mar 2011 08:30:02 GMT &gt; tcpdump -n -i eth1 src 10.0.0.1 and port 62315 <br><br>плохо что показали только в одну сторону.<br>eth1 - это внутренний или внешний интерфейс?<br><br>кусок маленький, но предположу что соединение не было установлено<br><br><br>&gt; 16:10:58.467712 IP 10.0.0.1.62315 &gt; 212.12.0.109.33084: . ack 9713 win 222 &lt;nop,nop,timestamp <br>&gt; 46098370 42262527&gt; <br>&gt; 16:10:58.499976 IP 10.0.0.1.62315 &gt; 212.12.0.109.33084: . ack 12609 win 210 &lt;nop,nop,timestamp <br>&gt; 46098373 42262548&gt; <br>&gt; 16:10:58.512382 IP 10.0.0.1.62315 &gt; 212.12.0.109.33084: . ack 15505 win 199 &lt;nop,nop,timestamp <br>&gt; 46098374 42262551&gt; <br>&gt; 16:10:58.894039 IP 10.0.0.1.62315 &gt; 212.12.0.109.33084: . ack 16398 win 196 &lt;nop,nop,timestamp <br>&gt; 46098412 42262571&gt; <br><br>с uTorren не знаком, так что если там есть что-то необычное укажите<br><br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#11 Mon, 14 Mar 2011 06:15:55 GMT &gt;&gt;&gt; iptables -F FORWARD <br>&gt;&gt;&gt; iptables -P FORWARD ACCEPT <br>&gt;&gt; безрезультатно.<br>&gt;&gt; раздача стоит... =( <br>&gt; откройте для себя волшебный мир команды tcpdump.<br><br>А что открывать, пакеты постоянно летят в обе стороны по .<br>Если немного уточнить, на клиенте uTorren, при перезапуске iptables или раздачи, куча пиров начинает закачку (клиент начинает раздачу)со скоростью сначало 0,3, потом 0,2, потом 0. Тоесть пир конектиться и тут же отваливается, раздача не идет. <br>В tcpdump все красиво. <br><br><br><br>tcpdump -n -i eth1 src 10.0.0.1 and port 62315<br><br>16:10:58.436384 IP 10.0.0.1.62315 &gt; 2.60.243.60.62491: . ack 1737 win 65212<br>16:10:58.452697 IP 10.0.0.1.62315 &gt; 109.191.9.174.49684: . ack 16398 win 192<br>16:10:58.467712 IP 10.0.0.1.62315 &gt; 212.12.0.109.33084: . ack 9713 win 222 &lt;nop,nop,timestamp 46098370 42262527&gt;<br>16:10:58.486375 IP 10.0.0.1.62315 &gt; 195.42.131.4.ianywhere-dbns: . ack 3976612479 win 52635<br>16:10:58.499976 IP 10.0.0.1.62315 &gt; 212.12.0.109.33084: . ack 12609 win 210 &lt;nop,nop,timestamp 46098373 42262548&gt;<br>16:1 https://www.opennet.ru/openforum/vsluhforumID1/91115.html#10 Mon, 14 Mar 2011 05:39:38 GMT &gt;&gt; iptables -F FORWARD <br>&gt;&gt; iptables -P FORWARD ACCEPT <br>&gt; безрезультатно.<br>&gt; раздача стоит... =( <br><br>откройте для себя волшебный мир команды tcpdump.<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#9 Mon, 14 Mar 2011 05:23:23 GMT &gt; iptables -F FORWARD <br>&gt; iptables -P FORWARD ACCEPT <br><br>безрезультатно.<br>раздача стоит... =(<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#8 Mon, 14 Mar 2011 04:39:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; -A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315 <br>&gt;&gt;&gt; --state NEW -j ACCEPT <br>&gt;&gt; а вот так: <br>&gt;&gt; -A FORWARD &lt;...и далее по тексту..&gt; <br>&gt; Прописал: <br>&gt; -A FORWARD -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 <br>&gt; --state NEW -j ACCEPT <br>&gt; -A FORWARD -p udp -m udp -m state -d 192.168.0.10 --dport 62315 <br>&gt; --state NEW -j ACCEPT <br>&gt; Не помагло <br><br>iptables -F FORWARD <br>iptables -P FORWARD ACCEPT<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#7 Mon, 14 Mar 2011 03:05:16 GMT &gt; не так: <br>&gt;&gt; -A INPUT -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 <br>&gt;&gt; --state NEW -j ACCEPT <br>&gt;&gt; -A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315 <br>&gt;&gt; --state NEW -j ACCEPT <br>&gt; а вот так: <br>&gt; -A FORWARD &lt;...и далее по тексту..&gt; <br><br>Прописал:<br>-A FORWARD -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT<br>-A FORWARD -p udp -m udp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT<br>Не помагло<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#6 Sat, 12 Mar 2011 05:44:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 2 - раздачу инициирует машина подключившаяся из инета.<br>&gt;&gt; по хорошему лучше что бы оба варианта работали.<br>&gt; Прописал: <br>&gt; *filter <br>&gt; -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt; *nat <br>&gt; -A POSTROUTING -s 192.168.0.10 --out-interface eth1 -j SNAT --to-source 10.0.0.1 <br>&gt; -A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315 <br>&gt; -A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315 <br>&gt; не помагло =( <br><br>ну и не должно было.<br><br>не так:<br><br>&gt; -A INPUT -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 <br>&gt; --state NEW -j ACCEPT <br>&gt; -A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315 <br>&gt; --state NEW -j ACCEPT <br><br>а вот так:<br><br>-A FORWARD &lt;...и далее по тексту..&gt;<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#5 Sat, 12 Mar 2011 01:19:52 GMT &gt; раздача может происходить в 2-х вариантах.<br>&gt; 1 - раздачу инициирует машина в локалки.<br>&gt; 2 - раздачу инициирует машина подключившаяся из инета.<br>&gt; по хорошему лучше что бы оба варианта работали.<br><br>Прописал:<br>*filter<br>-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br>-A INPUT -p tcp -m tcp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT<br>-A INPUT -p udp -m udp -m state -d 192.168.0.10 --dport 62315 --state NEW -j ACCEPT<br>*nat<br>-A POSTROUTING -s 192.168.0.10 --out-interface eth1 -j SNAT --to-source 10.0.0.1<br>-A PREROUTING -p tcp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315<br>-A PREROUTING -p udp -d 10.0.0.1 --dport 62315 -j DNAT --to-destination 192.168.0.10:62315<br><br>не помагло =(<br> https://www.opennet.ru/openforum/vsluhforumID1/91115.html#4 Fri, 11 Mar 2011 07:47:40 GMT раздача может происходить в 2-х вариантах.<br><br>1 - раздачу инициирует машина в локалки.<br>2 - раздачу инициирует машина подключившаяся из инета.<br>по хорошему лучше что бы оба варианта работали.<br><br>для этих вариантов нужны разные правила в iptables<br><br>1 вариант. ваш клиент инициирует раздачу. раздача идет с разных портов, а не только с 62315 , поэтому в правилах SNAT порт указывать нельзя. DNAT для этого варианта не нужен, но машины в инете, находящиеся за NAT и не использующие DNAT, с вами работать не смогут.<br><br>2 вариант. раздача идет с 62315 порта, но инициирует раздачу машина из инета, а это значит что iptables должен из инета к вашему клиенту пропустить и пакеты со статусом NEW.<br>для этого нужен DNAT, а вот SNAT тут не нужен.<br><br>соответственно лучше делать и SNAT и DNAT, но в таблице фильтров еще разрешить и пакеты со статусом NEW идущие к 192.168.0.10:62315<br>