Настройка firewall, список использумых портов

Здравствуйте.

Есть небольшая локальная сеть. На шлюзе стоит linux. Политика для forward drop, upnp нет. Подскажите, пожалуйста, какие порты порты необходимо открыть, пробросить.

PS для тестировании использую torrent-tv.ru, открытие портов 8621 и 7764 не помогло ( потоков 0 ), если на шлюзе сделать политику forward accept, то работает прекрасно.

собственно открывая порты вы просто открываете доступ к “шлюзу” (роутеру) по этим портам, а не проброс… а forwarding как раз политика проброса дальше в сетку

http://tldp.org/HOWTO/IP-Masquerade-HOWTO/firewall-examples.html

я в курсе, и спрашиваю какие порты нужно открыть, а какие если нужно пробросить…

ts engine не на шлюзе, а на компе в локалке

в принципе достаточно пробросить дефолтный порт (смотрим в настройках)

Вот, например


	if [ ! -z $TORRENT_STREAM_CLIENT ]; then
		if [ ! -z $TORRENT_STREAM_UDP_PORTS ]; then
			$FIREWALL -t nat -A PREROUTING -i $INTERNET_IFACE --protocol udp -m multiport --dports $TORRENT_STREAM_UDP_PORTS -j DNAT --to-destination $TORRENT_STREAM_CLIENT;
			$FIREWALL -A FORWARD -i $LAN_IFACE --protocol udp -m multiport --sports $TORRENT_STREAM_UDP_PORTS -s $TORRENT_STREAM_CLIENT -j ACCEPT;
			$FIREWALL -A FORWARD -i $INTERNET_IFACE --protocol udp -m miltiport --dports $TORRENT_STREAM_UDP_PORTS -d $TORRENT_STREAM_CLIENT -j ACCEPT;	
		fi
		if [ ! -z $TORRENT_STREAM_TCP_PORTS ]; then
			$FIREWALL -t nat -A PREROUTING -i $INTERNET_IFACE --protocol tcp -m multiport --dports $TORRENT_STREAM_TCP_PORTS -j DNAT --to-destination $TORRENT_STREAM_CLIENT;
			$FIREWALL -A FORWARD -i $LAN_IFACE --protocol tcp -m multiport --sports $TORRENT_STREAM_TCP_PORTS -s $TORRENT_STREAM_CLIENT -m state --state NEW -j ACCEPT; 
			$FIREWALL -A FORWARD -i $INTERNET_IFACE --protocol tcp -m multiport --dports $TORRENT_STREAM_TCP_PORTS -d $TORRENT_STREAM_CLIENT -m state --state NEW -j ACCEPT; 
		fi	
	fi

У меня в настройки по-умолчанию.
Ставлю


TORRENT_STREAM_UDP_PORTS=;
TORRENT_STREAM_TCP_PORTS=8621;

не работает.
Ставлю


TORRENT_STREAM_UDP_PORTS=;
TORRENT_STREAM_TCP_PORTS=8621,7764;

тоже не работает…
Работает если


iptables -P FORWARD ACCEPT

ощущение, что первый мой ответ ушел в пустоту…

net.ipv4.ip_forward=1 в файле /etc/sysctl.conf

далее iptables -A POSTROUTING -s 192.168.0.0/24 -t nat -o eth0 -j MASQUERADE или что у вас там

А Вы уверены, что отвечали на мой вопрос…
Меня интересует список портов, которые нужно открыть, чтобы смотреть транляции, и список портов которые нужно пробросить, чтобы раздавать. nat, masquerade, port forwarding в iptables, мне объяснять не нужно.

У меня локальная сеть, выход в интернет через шлюзовой компьютер. На шлюзе настроен firewall: NAT + фильтрация пакетов. В firewall добавляю правила, разрешающие устанавливать соединения для портов 8621, 7764, не работает ( плеер пишет потоков 0). Когда отключаю фильтрацию транзитных пакетов ( iptables -P FORWARD ACCEPT ) все работает.

Например, BitTorrent. На одном компьютере в моей локалке установлен торрент клиент (МОЙ_КЛИЕНТ), у которого в настройках указан МОЙ_ПОРТ. МОЙ_КЛИЕНТ связывается с трекерами, чаще всего, по tcp:80. Для этого на шлюзе нужно создать правило для транзитных пакетов для tcp:80. МОЙ_КЛИЕНТ получает от трекера список сидов/пиров. Чтобы МОЙ_КЛИЕНТ мог “связаться” с сидами/пирами на шлюзе нужно создать правило для транзитных пакетов, разрешить устанавливать соединения, где source_port=МОЙ_ПОРТ. Чтобы с МОЙ_КЛИЕНТ могли устанавливать соединения нужно на шлюзе пробросить МОЙ_ПОРТ на МОЙ_КЛИЕНТ, создать правило для транзитных пакетов, разрешить устанавливать соединения, где dest_port=МОЙ_ПОРТ.
На сколько я понял, схема, в самом широком смысле, для ts аналогичная.

обычный торрент-клиент с фиксированным портом

iptables -t nat -A PREROUTING 1 -i ppp0 -p tcp --dport TORRENT_STREAM_TCP_PORTS -j DNAT --to-destination LOCAL_IP

ток кроме DNATa еще и форвард разрешить на порт ТС из вне на локальный ип (о чем собственно и было все выше!!)

iptables -A FORWARD -d LOCAL_IP -p tcp --dport TORRENT_STREAM_TCP_PORTS -j ACCEPT

можно и udp , если вдруг не будет заводиться, да боюсь всякой лажой сетку забьет =/

Вроде так и делаю.
Можно узнать значение переменной TORRENT_STREAM_TCP_PORTS для стандартных настроек ts engine

в трее нажмите “настройки” и смотрите порт в дополнительных настройках… по желанию его можно изменить
можно еще
iptables -A FORWARD -d LOCAL_IP -p udp --dport TORRENT_STREAM_TCP_PORTS -j ACCEPT
для теста…

а еще вопрос - где вы тестите? на тестовой странице ТС?

тестирую на torrent-tv (первый пост)
порт брал из “опций” - 8621
Большое спасибо за ответы. Я сегодня вечером еще “поковыряю”, может где-то сам напортачил, а вам голову морочу…

попробуйте здесь http://info.acestream.media/#/test . Это 100% рабочий вариант, так что для теста самое то.

порт в настройках у меня такой же.

http://info.acestream.media/#/test заработало сразу. Большое спасибо.

Короткий вопрос не совсем по теме, просто неохота новую тему создавать. Не планируется ли TS Engine для NAS. Меня интересует dlink dns-323. Вещь конечно не особо в народе распространенная, но тогда можно было бы “домашним” пользователям хорошую отдачу организовать.
А так сервис просто супер !!! СПАСИБО ВАМ БОЛЬШОЕ

Мне кажется моя тема http://oldforum.acestream.media/index.php?topic=1752.0
относится тоже к этой же…
Как сделать как описано выше на шлюзе iptables -P FORWARD ACCEPT, или это нужно у провайдера попросить?

iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 2710,8621 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --sports 2710,8621 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p udp -m multiport --dports 1900 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m multiport --sports 1900 -m state --state ESTABLISHED -j ACCEPT