[iptables, nat]torrent через шлюз с drop policy

0

0

Как грамотно настроить правила для torrent-клиентов через шлюз с default policy DROP? Все компы локалки лазят в интернет через squid. В случае, когда возможности работы через прокси нет, на шлюзе используется маскарадинг со строго определенными destination хостами. Основная политика форвардинга DROP. Как разрешить торрент-трафик не давая клиентам злоупотреблять выходом из локалки через маскарад в обход прокси?

Ссылка

←	не могу разобраться с маршрутизацией и приоретизацией траффика

Зависание шлюза под debian

→

iptables -t -nat -A PREROUTING -p tcp -i $EXTIF [-d $EXTIP] --dport $PORT1 -j DNAT --to-destination $CLIENT:$PORT2

PORT1 - внешний свободный порт на шлюзе, PORT2 - порт, принимающий подключения на торрент-клиенте

iptables -A FORWARD -p tcp -i $EXTIF -d $CLIENT --dport $PORT2 -j ACCEPT

если default policy там DROP

Хотя, если маскарад, то -d $EXTIP не пригодится.

Я ещё udp открывал у себя, ну и для dht порт какой-то там. Можно диапазон портов.

Incred ★
(20.02.09 07:25:54 MSK)

Ответ на: комментарий от Incred 20.02.09 07:25:54 MSK

Спасибо, заработало. Оказывается надо было поставить правило для форвардинга первым, перед

-A FORWARD -i eth1 -m state --state INVALID,NEW -j DROP

mutronix ★★★★
(20.02.09 08:37:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	не могу разобраться с маршрутизацией и приоретизацией траффика

Admin

Зависание шлюза под debian

→

Похожие темы