https://opennet.ru/openforum/vsluhforumID1/84374.html Приветствую всех.<br><br>Помоги разобраться с такой проблемкой. Есть шлюз, в нём работает pf. Натит серую сеть 10.8.0.0 в пул выделенных адресов.<br><br>nat pass on $ext_if inet from 10.8.0.0/14 to any -&gt; 217.1.1.0/22 source-hash<br><br>Все натится прекрасно, но вот торрент у клиентов не работает. Тобишь когда клиент открывает у себя порт в торренте к примеру 58981 или дает возможность программе самой открывать его, то к нему не могут подключиться другие юзеры интернета.<br><br>К примеру по state выводится такая связка<br><br>all tcp 10.8.7.80:58981 -&gt; 217.1.1.105:57971 -&gt; 93.190.177.116:12517 ESTABLISHED:ESTABLISHED<br><br>Что ещё нужно прописать в pf чтобы натилось в другую сторону для торрент-клиента?<br><br>Спасибо.<br><br>P.S. Надеюсь что ясно изложил проблему))<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#9 Mon, 23 Mar 2009 05:40:10 GMT &gt;&gt;Хорошо, а откуда ты знаешь что внутреннему адресу 10.15.0.5 будет соответствовать всегда <br>&gt;&gt;внешний адрес 217.15.0.5 при опции source-hash?? <br>&gt;<br>&gt;man pf. В правилах ната срабатывает первое подошедшее правило. То есть траф <br>&gt;для торрента вообще не будет знать о source-hashed, он пойдет по <br>&gt;вышеизложенным правилам. Кстати можно для торент-юзеров применить перед source-hashed bitmask, с <br>&gt;ним сопоставление адресов становится предсказуемым... <br><br>Извиняюсь ступил))) Спасибо. Но я заметил, когда выдается айпи по source-hashed, то трекер берет этот айпи выделенный и уже после к нему подключается.<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#8 Sun, 22 Mar 2009 17:41:03 GMT &gt;Хорошо, а откуда ты знаешь что внутреннему адресу 10.15.0.5 будет соответствовать всегда <br>&gt;внешний адрес 217.15.0.5 при опции source-hash?? <br><br>man pf. В правилах ната срабатывает первое подошедшее правило. То есть траф для торрента вообще не будет знать о source-hashed, он пойдет по вышеизложенным правилам. Кстати можно для торент-юзеров применить перед source-hashed bitmask, с ним сопоставление адресов становится предсказуемым... <br> https://opennet.ru/openforum/vsluhforumID1/84374.html#7 Fri, 20 Mar 2009 16:27:35 GMT &gt;&gt;nat on $ext_if inet tag from 10.15.0.5 port 38825 -&gt; 217.15.0.5<br>&gt;&gt;nat on $ext_if inet tag from 10.15.0.5 to port 6969 -&gt; 217.15.0.5<br>&gt;<br>&gt;ошибочка) <br>&gt;nat on $ext_if inet tcp from 10.15.0.5 port 38825 -&gt; 217.15.0.5<br>&gt;nat on $ext_if inet tcp from 10.15.0.5 to port 6969 -&gt; 217.15.0.5<br><br>Хорошо, а откуда ты знаешь что внутреннему адресу 10.15.0.5 будет соответствовать всегда внешний адрес 217.15.0.5 при опции source-hash??<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#6 Thu, 19 Mar 2009 14:24:26 GMT &gt;nat on $ext_if inet tag from 10.15.0.5 port 38825 -&gt; 217.15.0.5<br>&gt;nat on $ext_if inet tag from 10.15.0.5 to port 6969 -&gt; 217.15.0.5<br><br>ошибочка)<br>nat on $ext_if inet tcp from 10.15.0.5 port 38825 -&gt; 217.15.0.5<br>nat on $ext_if inet tcp from 10.15.0.5 to port 6969 -&gt; 217.15.0.5<br><br> https://opennet.ru/openforum/vsluhforumID1/84374.html#5 Thu, 19 Mar 2009 14:20:54 GMT &gt;Хм, но ведь пакеты каждого внутреннего адреса транслируются на внешние адреса из <br>&gt;пула по вышеприведенному правилу через опцию source-hash. Как тогда правило rdr <br>&gt;узнает соответствие между внутренним и внешним адресами?? <br><br>надо перед основным правилом ната (с source-hashed) добавить правила ната для каждого узла с торентом, как-то так:<br><br>nat on $ext_if inet tag from 10.15.0.5 port 38825 -&gt; 217.15.0.5<br>nat on $ext_if inet tag from 10.15.0.5 to port 6969 -&gt; 217.15.0.5<br><br>а еще удобнее ставить теги в правилах пасс на входе внутреннего интерфеса (pass in on $int_if) при форвардинге, а здесь их проверять...<br><br>тока вот я не уверен насчет того что у всех трекеров порт 6969, с этим может быть трабл...<br><br>или для каждого клиента с торрентом просто забить правило ната на все порты перед source-hashed, тогда траблов меньше и правил меньше.<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#4 Thu, 19 Mar 2009 13:16:22 GMT &gt;[оверквотинг удален]<br>&gt;выдаешь каждому внутреннему адресу по порту, если внутренний адрес динамически можно по <br>&gt;доменному имени отслеживать (somehost.local) port 38825 <br>&gt;<br>&gt;а лучше наверно для каждого внутреннего адреа с торентом выделить внешний и <br>&gt;для каждого писать правило типа <br>&gt;<br>&gt;rdr pass on $ext_if proto {tcp, udp} to 217.?.0.5 port 38825 -&gt; 10.15.0.5 port 38825<br>&gt;<br>&gt;но тогда для торрента и натить надо этот внутренний адрес на определенный <br>&gt;внешний <br><br>Хм, но ведь пакеты каждого внутреннего адреса транслируются на внешние адреса из пула по вышеприведенному правилу через опцию source-hash. Как тогда правило rdr узнает соответствие между внутренним и внешним адресами??<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#3 Wed, 18 Mar 2009 14:12:00 GMT нужно примерно так<br><br><br>rdr pass on $ext_if proto tcp to 217.?.X.X/16 port 38825 -&gt; 10.15.0.5 port 38825<br><br>то есть любой запрос на екст_иф на адреса с сети 217.?.x.x/16 порт 38825 будет направлен на 10.15.0.5<br><br>выдаешь каждому внутреннему адресу по порту, если внутренний адрес динамически можно по доменному имени отслеживать (somehost.local) port 38825<br><br>а лучше наверно для каждого внутреннего адреа с торентом выделить внешний и для каждого писать правило типа <br><br>rdr pass on $ext_if proto {tcp, udp} to 217.?.0.5 port 38825 -&gt; 10.15.0.5 port 38825<br><br>но тогда для торрента и натить надо этот внутренний адрес на определенный внешний<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#2 Wed, 18 Mar 2009 05:07:00 GMT &gt;[оверквотинг удален]<br>&gt;может работать только с теми у кого стоит прямой ip а <br>&gt;со всеми теми кто сидит под натом не может работать , <br>&gt;для этих целей если хочешь пойти навстречу людям сделай правила форварда <br>&gt;что всё например с порта 20101 идёт на хост 10.8.0.10 на <br>&gt;порт 20101 , с порта 20102 всё идёт на хост 10.8.0.15 <br>&gt;на порт 20102 (грубо говоря люди должны настроить свои клиенты так <br>&gt;что бы входящий порт для торента был у каждого уникальный и <br>&gt;четко прописанный) . <br>&gt;не уверен , но вроде так (правила fwd для ipnat найти не <br>&gt;сложно) <br><br>Помогите пожалуйста разобраться хотя бы для одного порта.<br>к примеру нат у меня настроен так<br>nat pass on $ext_if inet from 10.15.0.0/16 to any -&gt; 217.X.X.X/16 source-hash<br><br>К примеру я хотел бы форвардить до клиентов порты с 38820 по 38825<br>Какое лучше правило мне создать дополнительно (чего то с rdr не получается сделать)??<br><br><br>rdr pass on $ext_if proto {tcp, udp} from 217.X.X.X/16 port 38820:38825 to 10.15.0.0/16 port 38820:38825<br>Так нужно??<br> https://opennet.ru/openforum/vsluhforumID1/84374.html#1 Wed, 11 Mar 2009 15:56:22 GMT &gt;[оверквотинг удален]<br>&gt;К примеру по state выводится такая связка <br>&gt;<br>&gt;all tcp 10.8.7.80:58981 -&gt; 217.1.1.105:57971 -&gt; 93.190.177.116:12517 ESTABLISHED:ESTABLISHED<br>&gt;<br>&gt;Что ещё нужно прописать в pf чтобы натилось в другую сторону для <br>&gt;торрент-клиента? <br>&gt;<br>&gt;Спасибо. <br>&gt;<br>&gt;P.S. Надеюсь что ясно изложил проблему)) <br><br>насколько я знаю под натом ТОрент работает в "пассивном" режиме , т.е может работать только с теми у кого стоит прямой ip а со всеми теми кто сидит под натом не может работать , для этих целей если хочешь пойти навстречу людям сделай правила форварда что всё например с порта 20101 идёт на хост 10.8.0.10 на порт 20101 , с порта 20102 всё идёт на хост 10.8.0.15 на порт 20102 (грубо говоря люди должны настроить свои клиенты так что бы входящий порт для торента был у каждого уникальный и четко прописанный) .<br>не уверен , но вроде так (правила fwd для ipnat найти не сложно)<br><br>