Utorrent downloading.

Hi, there are several threads here about working utorrent configurations. 
e.g. https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40456

A DMZ involves a new physical network and an additional NIC in the firewall, or you can use VLANs.

Barry

Hi there,

I'm guessing you're refering to what most consumer grade routers (DLink, Linksys, etc) refer to as a DMZ whereby all traffic hitting the outside of the router is forwarded to a specific PC on the inside?

Astaro can do something similar using a 'DNAT' rule under "Network Protection" >> "NAT" >> "NAT" and set the DNAT up like I have on the first image. This will forward literally everything to that one PC, which while it works, isn't the best.

A better choice, what I do, is configure my torrent client (uTorrent in my case) to use a specific port (34528 for example), or range of ports, and narrow the range required to forward. The port (or range of) is defined in the "Using Service" field of the DNAT.

The advantage of forwarding only ports (or small ranges) is two fold: It's more secure. And if you ever decide to run another torrent client, or TeamSpeak, or anything else, you have that option which a "DMZ Forward" doesn't give you.

As an aside the use of "DMZ" by consumer grade gear is correct but not exactly. A DMZ, within the network security community, is an isolated network created to house servers running public/Internet facing services (email, web, irc, etc). Because they are exposed to the world at large, and therefore a target for hackers, they need to be protected. The organization also needs to be protected from those servers in case they are compromised.

The original way of doing this was a firewall between the Internet & DMZ and another between the DMZ & Local Network. Rules on the two firewalls would limit access to the three areas. Nowadays that's typically compressed into one physical box with three network interfaces, but the idea is the same.

Hi there,

I'm guessing you're refering to what most consumer grade routers (DLink, Linksys, etc) refer to as a DMZ whereby all traffic hitting the outside of the router is forwarded to a specific PC on the inside?

Astaro can do something similar using a 'DNAT' rule under "Network Protection" >> "NAT" >> "NAT" and set the DNAT up like I have on the first image. This will forward literally everything to that one PC, which while it works, isn't the best.

A better choice, what I do, is configure my torrent client (uTorrent in my case) to use a specific port (34528 for example), or range of ports, and narrow the range required to forward. The port (or range of) is defined in the "Using Service" field of the DNAT.

The advantage of forwarding only ports (or small ranges) is two fold: It's more secure. And if you ever decide to run another torrent client, or TeamSpeak, or anything else, you have that option which a "DMZ Forward" doesn't give you.

As an aside the use of "DMZ" by consumer grade gear is correct but not exactly. A DMZ, within the network security community, is an isolated network created to house servers running public/Internet facing services (email, web, irc, etc). Because they are exposed to the world at large, and therefore a target for hackers, they need to be protected. The organization also needs to be protected from those servers in case they are compromised.

The original way of doing this was a firewall between the Internet & DMZ and another between the DMZ & Local Network. Rules on the two firewalls would limit access to the three areas. Nowadays that's typically compressed into one physical box with three network interfaces, but the idea is the same.

ok, well i have it set up just like you did, i think...

my computer (dylans laptop) is marked as a host with the local ip address specified and the interface is "internal" as you can see here http://dl.dropbox.com/u/36392941/dylans%20laptop.PNG

however my Utorrent client just sits there, and i have specified in utorrent, a single port to use. 
so my question now is, what is your utorrent service definition look like? 
because i feel kinda sketchy about whether i did it correct or not, here is another screen of my Utorrent service Def. http://dl.dropbox.com/u/36392941/Utorrent.PNG

and im still stuck, i cant get it to do anything, my trackers wont connect, and my DHT waiting to announce times out as well. 
and as youll notice in the above picture, when i specify the "External WAN", am i specifying the external wan address, network, or broadcast?
because i have it set to external wan address. 


so heres my overall setup just incase 
http://dl.dropbox.com/u/36392941/setup.PNG

btw i appreciate you guys helping me with this. even though im the millionth person to ask about it. [:D]

The DNAT rule is to allow other torrent clients to download from you.  

The question should be asked, how are you connecting to the trackers and other clients?  Unlike the consumer grade devices mentioned above, the Astaro firewall is default deny, both inbound and outbound.  What do your outbound firewall rules look like?

The DNAT rule is to allow other torrent clients to download from you.  

The question should be asked, how are you connecting to the trackers and other clients?  Unlike the consumer grade devices mentioned above, the Astaro firewall is default deny, both inbound and outbound.  What do your outbound firewall rules look like?

well i have it setup so my utorrent client uses port 54576

https://dl.dropbox.com/u/36392941/outbound%20rules.PNG

with that being said because im still trying to get everything to work, my Utorrent service definition is 

Name:utorrent
type of def: TCP/UDP
Destination Port 54576:65535 > this is set so high because i just wanted to get it to work
source Port 1:65535 > this is set so broad because i saw my trackers running on port 80, and i cant figure out wth im doing. [:S]
comment: utorrent


oh, and btw you'll notice that all my definitions are "internal network" > "Service Definition" > "Any"
because if i specify a "Host", and not just the "internal network" the rule does not work.

Hi,

For the Dylans Laptop host definition change the interface to: Any (best practice to use any for network definitions) instead of internal.

The utorrent service for the dnat should have a range of ports of 1:65535 for source, that is correct. Then for destination you can just specify 54576.

I believe the trackers work on port 80 or 8080 etc, that's dependant on the tracker. The actually file sharing is done on the bittorrent port you specify.

For outgoing traffic if you are not allowing all services out you will also need to create a packet rule to allow and create a service with: source:54576 and destination: 1:65535

the packet filter rule would be similiar to:
Dylans Laptop or Internal (network) -> service: utorrent outgoing -> Destination: Any or Internet

ok, changed interface to "any" for my laptops host definition.
and the destination port now is just 54576 (for utorrent service)

1. Dont i need trackers to find peers? 
2. how do i allow all services out just not in? is that even possible? 
3. by "packet filter rule" i assume you mean "Network security > Firewall > New Rule? 

because nowhere on my astaro box do i have "Packet filter" and i just want to make sure im not missing something. 

and just so im understanding this. 
astaros Default rule is "nothing in" "nothing out"
so i need two firewall rules and two separate service definitions
one for in, and one for out? 

the reason im confused is because i thought that by specifying "TCP/UDP" in the Utorrent service definiton i was saying "allow always, IN (TCP) and OUT (UDP). 

but i could just be an idiot. 


so, so far i have two firewall rules and two service definitons

https://dl.dropbox.com/u/36392941/Utorrent%20in.PNG

And

https://dl.dropbox.com/u/36392941/Utorrent%20out.PNG

and i know the description box covered a few things, but both of them are Set to "allow" and "always"

so my firewall looks like this right now. 

https://dl.dropbox.com/u/36392941/Utorrent%20firewall.PNG

ok well i tried my torrents again and everything seems to be working just fine. https://dl.dropbox.com/u/36392941/Download.PNG
if not better than ever, and i appreciate you guys helping me with this. 
now i can get my promo radio songs again [:D]

however is there anyway to explain to me what i just did? 

like with the two rules, and why TCP and UDP didnt specify out and in, like a Consumer grade router? 

(which obviously i know better than all this high end stuff)

and one more thing. 

i do have a DNAT Rule setup which i now know allows others to download from me, however my understanding of a nat was to basically seperate information from two different host (or clients) so information dosnt get crossed. 

so my understanding of Dnat was basically port forwarding on a higher level, and more difficult. 

idk why but i always figured when i said "i need this service definition (or port definition) and the info that comes requesting a path, with the same info should be forwarded to this local ip address, and vice versa". 

but than again, i guess that is Port forwarding, and not Dnatting..(idk if that's a word or not..)

It takes a bit of getting used to moving from consumer gear where assumptions are already made for you to enterprise grade gear where nothing is assumed. [:)] Things will come in time, what matters is ask questions and don't be afraid to experiment (back things up first as you will break things).

One thing you can do which will mimic a standard consumer router, is to setup an outbound rule that allows all traffic from inside your network. Arguably it's not as secure as the default deny policy but you get less spousal complaints saying her new program on her laptop isn't getting online.[8-)]

The proper way to do it would be to look through the logs to find out which ports are used by her software and setup a rule for each one to allow it through.

To answer some of your questions (in no particular order)

Firewall Rules: Rules are always "one way." TCP & UDP are different protocol types used on IP networks (hence the term TCP/IP). TCP guarantees that packets of data will arrive at the receiver's end, and will resend if any get lost. UDP does not provide that guarantee. Which one is used by software depends on how much they care about those lost packets. A lot of games, Battlefield 3 for example, use UDP because a few dropped packets here & there won't impact the game all that much. On the other hand, Medical Imaging software would use TCP because nobody want's chunks of your Xray to go missing. That missing chunk could be the difference between life & death.

Port Forwards: Port forwarding is essentially a specific type of DNAT. It's basically a DNAT rule that works on the external interface. In Astaro, if you select the Automatic Firewall rule checkbox, the rules needed to allow the traffic back in are created for you, mimicking the Port Forward. NAT is a very powerful tool in the toolbox and Port Forwarding gives you a glimpse into what it can do.

I posted a complete set of bit torrent configuration settings for ASG v8 in this thread:  -->  https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40617