Ladění firewallu

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od Bedřich Košata

Dne 2014-10-31 08:52

Pokud se podíváte na globální statistiky na https://www.turris.cz/cs/global-stats/?date=2014-10-01&period=y#port, tak zjistíte, že zdaleka nejčastější porty, na které se "útočí", jsou 6881 a 51413. Ne náhodou jsou to porty nejčastěji používané bittorrentem (např. 51413 je defaultní tzv. peer-port programu transmission) z čehož je vidět, že mezi turristy je mnoho příznivců Linuxu, kteří si často stahují obrazy instalačních médií :smile:

Kromě toho, že nám takové packety zbytečně plní databáze a ve statistikách zastiňují opravdové útoky, znamenají také, že se data nedostala do svého cíle a komunikace tak nebyla efektivní. Pokud tedy bittorent používáte a ve statistikách firewallu ve svém uživatelském profilu jeden z těchto nebo nějaký jiný známy bittorrentový port vidíte, můžete situaci vylepšit tím, že tento port přesměrujete na počítač, na kterém bittorrent klient běží. Z příkazové řádky třeba tak, že do /etc/config/firewall přidáte následující


config 'redirect'
        option 'name' 'Redirect 51413 (transmission) to XXX'
        option 'src' 'wan'  
        option 'src_dport' '51413'
        option 'dest_ip' 'XXX'
        option 'target' 'DNAT'
        option 'dest' 'lan'

kde XXX je adresa stroje, kam chcete port přesměrovat.

Mimochodem, další populární port je 5678, což je hledání sousedů od Mikrotiku. S tím bohužel nic neuděláte, pokud se vám nepovede najít souseda, který ten mikrotik má a přesvědčit ho, aby si to vypnul :smile:

Od David K.

Dne 2014-10-31 10:52

to u me je to port 2314 83%, pote port 22222 14%, asi je to oboje neco k ip tv ale nejsem si jistej

Od PabloRadegast (>)

Dne 2014-10-31 11:47

Dival jsem se do sveho nastaveni a porty 38213 (uTorrent na PC), 16881 (TCP BitTorrent na Synology), 6881 (UDP BitTorrent na Synology) a 7227 (Pyload na Synology) mam v souboru /etc/config/firewall presmerovane na patricne IP adresy daneho zeleza uz snad od pocatku:

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option src_dport '38213'
option dest_ip '192.168.1.100'
option dest_port '38213'
option proto 'tcp udp'
option name 'PR74uTorrent'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option src_dport '16881'
option dest_port '16881'
option dest_ip '192.168.1.101'
option name 'SynologyuTorrentTCP'
option proto 'tcp'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'udp'
option src_dport '6881'
option dest_ip '192.168.1.101'
option dest_port '6881'
option name 'SynologyuTorrentUPD'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '7227'
option dest_ip '192.168.1.101'
option dest_port '7227'
option name 'SynologyPyload'

Nicmene, porad mi na v grafu zablokovanych paketu port 16881 dela hodne velky podil.
Tady jsou data za cely rok:

A tady data za posledni mesic:

Mam snad neco spatne nastavene?

Od Bedřich Košata

Dne 2014-10-31 12:10

Máte ta pravidla pouze pro TCP, ale bittorrent často používá i UDP. Stačí odstranit řádek


option proto 'tcp'

a problém by se měl odstranit.

Od PabloRadegast (>)

Dne 2014-10-31 12:37

Opraveno. Nevim kde jsem to cetl, ze to tak ma byt, ale mel jsem nastaveno, ze BitTorrent pro Synology pro TCP bezi pod portem 16881 a pro UDP pod portem 6881, coz byl asi nesmysl. Uz jsem prenastavil pro port 16881 tak, ze to je pro TCP i UDP:

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option src_dport '16881'
option dest_port '16881'
option dest_ip '192.168.1.101'
option name 'SynologyuTorrent'
option proto 'tcp udp'

Snad to bude stacit.