Iptables & torrent

Support Debian
#1

Bonjour,

J’utilise iptables qui marche très bien sauf pour le torrent.
La connexion ne se fait pas dans le sens PC ==> internet. Si je met un intervalle de ports plus grand (4000:60000), il se connecte sans problème.

A quoi est dû ce problème ?

Je précise que je si je désactive iptables, aucun problème.

Merci de vos réponses par avance.

Voici une partie du script :

# PURGE DES REGLES
iptables -F
iptables -X

# ON INTERDIT TOUT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i $INTERFACE -d $FIXE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE -s $FIXE -m state  --state RELATED,ESTABLISHED -j ACCEPT

# KTORRENT
iptables -A OUTPUT -o $INTERFACE -s $FIXE -p tcp --dport 6881:7000 -j ACCEPT
#2

Effacé.

#3

[quote=“helid”]Alors, je connais très mal les torrents, mais d’après ce que j’ai compris, il faut aussi ouvrir en entrée ses ports, de manière à ce que les autres “initialisent” leurs connections avec toi. L’initialisation est réciproque si tu préfères.

Ta règle ne le permet pas, donc le réseau torrent te considère comme leecher et “volontairement” pas seeder -> il te bloque très vite, d’où ton impression.

Voilà, autant c’est pas du tout ça ! :laughing: … super comme aide hein ?! 8)[/quote]

Merci de ta réponse.
J’ai rajouté iptables -A INPUT -i $INTERFACE -d $FIXE -p tcp --dport 6881:7000 -j ACCEPT
Mais cela ne change rien.

#4

Personne ne voit l’origine du problème ?

#5

[quote=“body”]

[code]

PURGE DES REGLES

iptables -F
iptables -X

ON INTERDIT TOUT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i $INTERFACE -d $FIXE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE -s $FIXE -m state --state RELATED,ESTABLISHED -j ACCEPT

KTORRENT

iptables -A OUTPUT -o $INTERFACE -s $FIXE -p tcp --dport 6881:7000 -j ACCEPT

[/code][/quote]

Ta dernière règle est redondante avec la précédente pour ce qui est des états RELATED et ESTABLISHED. Il vaudrait mieux faire quelque chose comme cela :

Après, j’aurais remplacé dport par sport car rien ne te dit que les autres clients torrent fonctionnent sur les ports 6881:7000, mais ce serait plutôt ton fonctionnement a priori.

Et pour ton fonctionnement en tant que serveur, j’ajouterais :

Si cela ne fonctionne pas mieux, il va falloir utiliser wireshark, à moins que quelqu’un ait une autre idée.

#6

[quote=“thialme”][quote=“body”]

[code]

PURGE DES REGLES

iptables -F
iptables -X

ON INTERDIT TOUT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i $INTERFACE -d $FIXE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE -s $FIXE -m state --state RELATED,ESTABLISHED -j ACCEPT

KTORRENT

iptables -A OUTPUT -o $INTERFACE -s $FIXE -p tcp --dport 6881:7000 -j ACCEPT

[/code][/quote]

Ta dernière règle est redondante avec la précédente pour ce qui est des états RELATED et ESTABLISHED. Il vaudrait mieux faire quelque chose comme cela :

Après, j’aurais remplacé dport par sport car rien ne te dit que les autres clients torrent fonctionnent sur les ports 6881:7000, mais ce serait plutôt ton fonctionnement a priori.

Et pour ton fonctionnement en tant que serveur, j’ajouterais :

[/quote]
Je suis désolé mais cela ne marche pas mieux. J’ai contourné le problème ne mettant cette règle :

iptables -A OUTPUT -o $INTERFACE -s $FIXE -p tcp -j ACCEPT [/quote]

#7

Si tu en arrives là, autant mettre :

Ce sera plus propre que de mettre :

puisque tu ne maîtrises pas les connexions sortantes. De plus, tu fais toujours de la redondance avec les règles précédentes en ne filtrant pas suivant l’état NEW spécifiquement.

#8

encore des paranos qui filtrent l’output ! :wink:
sinon, body, ça n’a rien à voir, mais il faut autoriser tout ce qui part et vient sur lo, sinon, tu as des services qui vont cafouiller.

#9

[quote=“mattotop”]encore des paranos qui filtrent l’output ! :wink:
sinon, body, ça n’a rien à voir, mais il faut autoriser tout ce qui part et vient sur lo, sinon, tu as des services qui vont cafouiller.[/quote]

Pas paranos juste sécurisé ! :smiley:
Pour le localhost, j’ai mis une règle. Mon fichier posté n’était pas entier.

#10

Je ne connais pas iptables, mais avec mon speedtouch et azureus, je dois créé une régle pour le protocole udp et les régles NAT qui vont bien.

#11

[quote=“body”]
Pour le localhost, j’ai mis une règle. Mon fichier posté n’était pas entier.[/quote]

Autrement tu aurais un peu de mal à aller sur Internet de toute façon !

#12

Donc il n’y a pas de problème avec le NAT d’après moi.