URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87941
[ Назад ]

Исходное сообщение
"pf & mtorrent"
Отправлено Fedorov Alex , 22-Янв-10 18:09

Имеется Freebsd 8.0 с двумя сетевыми интерфейсами dc0,dc1
Настроил pf для доступа компов локальной сети к инета через nat.
dc0 - инет интерфейс
dc1 - внутр сеть 192.168.0.0/24
делаю NAT для избранной машины:
nat on dc0 proto {tcp,udp} from 192.168.0.10 to !192.168.0.0/24 -> (dc0)
pass in on dc1 inet proto {tcp,udp} from 192.168.0.10 to any
pass in on dc1 inet proto {tcp,udp} from any to 192.168.0.10
При использовании торрента (mtorrent) на виндоус клиенте 192.168.0.10 торент работает ЕСТЕСТВЕННО в пассивном режиме. Смотрю tcpdump, использует много портов, например:
1263,1218...в том числе и явно указанный в проге 30866, стучась на инетовские 25661, 27515
Читал что спецификация торрентов не ограничивает диапазон портов, получается для конкретной торрент машины лучше и оставить pass правила, и не ограничивать диапазоны портов?
Просто хочется четко прописать что-то типа
pass in on dc1 inet proto {tcp,udp} from 192.168.0.10 to any port {22,53,80,110,3128,...}
А вот что писать для торрента не знаю
Для внешнего интерфейса pass разрешают все исходящие интерфейсы.
Если нужно приведу полный конфиг

Содержание

pf & mtorrent,reader, 22:05 , 22-Янв-10
- pf & mtorrent,Fedorov Alex, 12:52 , 28-Янв-10

Сообщения в этом обсуждении

"pf & mtorrent"
Отправлено reader , 22-Янв-10 22:05

>[оверквотинг удален]
>делаю NAT для избранной машины:
>nat on dc0 proto {tcp,udp} from 192.168.0.10 to !192.168.0.0/24 -> (dc0)
>
>pass in on dc1 inet proto {tcp,udp} from 192.168.0.10 to any
>pass in on dc1 inet proto {tcp,udp} from any to 192.168.0.10
>
>При использовании торрента (mtorrent) на виндоус клиенте 192.168.0.10 торент работает ЕСТЕСТВЕННО в
>пассивном режиме. Смотрю tcpdump, использует много портов, например:
>1263,1218...в том числе и явно указанный в проге 30866, стучась на инетовские
>25661, 27515
30866 - это скорей всего порт на котором он будет ждать входящие соединения, а исходящие могут идти с любого больше 1024.
>
>Читал что спецификация торрентов не ограничивает диапазон портов, получается для конкретной торрент
>машины лучше и оставить pass правила, и не ограничивать диапазоны портов?
>
>Просто хочется четко прописать что-то типа
>pass in on dc1 inet proto {tcp,udp} from 192.168.0.10 to any port
>{22,53,80,110,3128,...}
для исходящих это не особо оправдано, но если хотите, то пожалуйста конечно, но то что не откроете будет не доступно, а торрент-клиент может слушать любой порт.
>А вот что писать для торрента не знаю
>
>Для внешнего интерфейса pass разрешают все исходящие интерфейсы.
>Если нужно приведу полный конфиг
>

"pf & mtorrent"
Отправлено Fedorov Alex , 28-Янв-10 12:52

Спасибо за ответ, таких машин будет мало, поэтому думаю что это действительно не оправдано!