Закрыты все торрент порты
| lesnoychelovek |
|
|
Темы:
20
Сообщения:
59
Участник с: 21 августа 2008
|
Нет ни одного открытого торрент порта (6881-6889). Пытался через iptables открыть 6888 - получил жилище индейцев (фиг вам). iptables # Generated by iptables-save v1.4.4 on Thu Aug 20 18:58:44 2009
*filter
:INPUT ACCEPT [5230001:1773195748]
:FORWARD ACCEPT [559529:371402201]
:OUTPUT ACCEPT [6592719:4189652547]
-A INPUT -p tcp -m tcp --dport 8666 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 6888 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 6888 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 6888 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 6888 -j ACCEPT
COMMIT
# Completed on Thu Aug 20 18:58:44 2009
# Generated by iptables-save v1.4.4 on Thu Aug 20 18:58:44 2009
*nat
:PREROUTING ACCEPT [22023:1665768]
:POSTROUTING ACCEPT [3406:204360]
:OUTPUT ACCEPT [810180:63731282]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Aug 20 18:58:44 2009 |
| ProFfeSsoRr |
|
Темы:
82
Сообщения:
948
Участник с: 14 мая 2009
|
Нет ни одного открытого торрент порта (6881-6889)ну во-первых - порты ты сам волен выбирать. И вообще, на некоторые трекеры со стандартыми портами в принципе не пускают, из соображений безопасности. Далее - у тебя :INPUT ACCEPT, а значит все остальные строчки тебе нафиг не нужны - у тебя все везде уже открыто. Точно также и в таблице nat у тебя все ACCEPT - у тебя считай нет файервола, все открыто по всем направлениям. А зачем -A POSTROUTING -o eth0 -j MASQUERADE? Ты мапишь порты не на ту машину, на которой iptables, а на какую-то другую что ли (а комп с iptables выступает шлюзом интернета)? Тогда тебе надо не в INPUT порты прописывать, а в FORWARD, тебе ж трафик надо пропустить на тот другой комп, а не принять его на комп, на котором iptables крутится. В любом случае, сначала как минимум убери строчки :PREROUTING ACCEPTиз nat и :INPUT ACCEPT и :FORWARD ACCEPT из filter, и пропиши только нужные тебе порты. |
| lesnoychelovek |
|
|
Темы:
20
Сообщения:
59
Участник с: 21 августа 2008
|
Машина действительно раздаёт инет, просто за ней работаю ещё и я. (: nmap [[email protected] ~]$ nmap 127.0.0.1 Starting Nmap 5.00 ( http://nmap.org ) at 2009-08-21 13:59 YEKST Interesting ports on localhost.localdomain (127.0.0.1): Not shown: 999 closed ports PORT STATE SERVICE 111/tcp open rpcbind Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds |
| ProFfeSsoRr |
|
|
Темы:
82
Сообщения:
948
Участник с: 14 мая 2009
|
А причем тут nmap с 127.0.0.1? Тебе ж не по этому адресу инет приходит, так нафига его смотреть? Это ж не винда тебе, где как угодно не пиши - все равно один интерфейс. 127.0.0.1 это IPшник на lo, интерфейс обратной петли. А тебе надо nmap'ом сканировать свою машину с внешки, по её внешнему адресу. И не с этой же машины, т.к. iptables ж и nmap отработает ;) И вообще, непонятно мне, зачем тебе тут nmap. У тебя ясно написано в конфиге iptables - усе везде ACCEPT с этой машины. Запрещено только пропускание пакетов, коли торрент не на машине с iptables, то тебе надо порты для торрента через FORWARD добавлять, командой наподобие -A FORWARD -p tcp -m tcp -m multiport –dports 22,25,53,80,143,443,1200,1234,5223,5500,3074 -i eth1 -j ACCEPT в таблице filter. Ты вообще понимаешь, как работает iptables? Если нет, то гугли “Руководство по iptables”, серьезный учебник, все расписано и объяснено. P.S. И вообще, ты свою сеть-то опиши. А то надо обо всем догадываться. На какую машину мапишь, на свой сервер или на сетевую, имена сетевых интерфейсов (в смысле там eth0 - внутренняя, eth1 - инет, и т.д.). P.P.S. Прочел твой ответ во второй теме. Значит случай у тебя как у меня. В мане для Azureus были приведены прям готовые строки для конфига iptables, вот они: -I INPUT 1 -i ppp0 -p tcp –tcp-flags SYN,RST,ACK SYN –dport ****** -m state –state NEW -j ACCEPT -I INPUT 1 -i ppp0 -p udp –dport ***** -m state –state NEW -j ACCEPT Ну интерфейс там уже сам на свой внешний сменишь, вместо звездочек - номера tcp (1 строка) и udp портов соответственно. |