Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 3 subscribers
  • Views 29759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bit Torrent sync / firewall rules

crash893
okay im at my witts end here I thought i understood how the firewall works but i guess im not getting something


example from the log

01:58:12 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:12 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:19 Default DROP UDP 10.10.10.116 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=0:25:90:3c:2b:25 dstmac=0:1a:8c:12:86:a0
01:58:22 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:22 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:29 Default DROP UDP 10.10.10.116 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=0:25:90:3c:2b:25 dstmac=0:1a:8c:12:86:a0
01:58:32 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0


the rule i setup was

Internal (network)→ BT Sync* → any

*BT Sync  UDP 1:65535 → 42816

Its dropping all the packets 

any pointers?


This thread was automatically locked due to age.
  • 0
    I did look in the real log

    2013:05:07-00:01:01 intranet ulogd[4393]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="2c:41:38:11:87:c3" dstmac="0:1a:8c:12:86:a0" srcip="10.10.10.194" dstip="54.225.100.8" proto="17" length="125" tos="0x00" prec="0x00" ttl="127" srcport="42816" dstport="3000" 

    it says rule 60002 (i assume thats rule 2)  rule 2 is dns that was made by the install wizard
  • 0
    Hi, the 6000X rules are the default drop rules in the UTM. 

    From the last log you posted you can see the source is port 42816, so make a new service that's the opposite the "BT Sync" you already created. You'll need both service definitions one to allow the traffic in and one to allow the traffic out.

    New Service:
    source: 42816
    dest: 1:65535

    and then a firewall rule to allow the traffic
    Internal(Network) -> source 42816 -> ANY or INternet
  • 0
    Hi, 

    42816 seems to be the source port configured in your client.

    The client appears to be trying to connect to destination port 3000.

    Try changing the service definition to 
    *BT Sync OUTGOING UDP 42816 → 3000
    However, if other users are changing their port #'s also, this would work better:
    *BT Sync OUTGOING UDP 42816 → 1:65536

    You should also have a definition, DNAT, and firewall rule for incoming traffic, which would have 42816 as the destination port.

    Barry
  • 0 in reply to BarryG
    Hi, 

    42816 seems to be the source port configured in your client.

    The client appears to be trying to connect to destination port 3000.

    Try changing the service definition to 
    *BT Sync OUTGOING UDP 42816 → 3000
    However, if other users are changing their port #'s also, this would work better:
    *BT Sync OUTGOING UDP 42816 → 1:65536

    You should also have a definition, DNAT, and firewall rule for incoming traffic, which would have 42816 as the destination port.

    Barry


    ill give it a try but in not sure why saying 3000 would be diffrent than saying 1:65536

    also if i do nat wont it only be usable by one computer in the network?
  • 0 in reply to BarryG
    Hi, 

    42816 seems to be the source port configured in your client.

    The client appears to be trying to connect to destination port 3000.

    Try changing the service definition to 
    *BT Sync OUTGOING UDP 42816 → 3000
    However, if other users are changing their port #'s also, this would work better:
    *BT Sync OUTGOING UDP 42816 → 1:65536

    You should also have a definition, DNAT, and firewall rule for incoming traffic, which would have 42816 as the destination port.

    Barry



    If i create a dnat rule only one device can use this service correct?
  • 0
    unless you can change the port for this service, or the source adress, I think you can only have one, yes,
    creating multiple with the same source/service but a different destination, will not work
  • 0
    I'm a bit late to the party but you need a dnat rule for torrents as noted above. If you want to share upload and track you need a firewall rule internal network or just the ip of the machine, any Internet ipv4 else it won't work both ways only one way.  The problem is you have no idea what the other torrenters are using for a torrent port hence you can't really set a static rule for that. I usually turn on that firewall rule while torrenting then turn it off when I am done
  • 0
    what I' ve done for torrenting is this:
    Routing:
      DNAT:
        Source: Any Ipv4
        service: port bittorrent uses(Laptop = 65535, Desktop 65534 as examples),
        destination: external(address)

        change destination to: the destination that fits the port mentioned above
    Firewall
    DNAT' s auto-firewall rules are checked
    no special rules have been made

    IPS: disabled the rules mentioned in earlier posts

    if I recall correctly that's all you have to do [;)]
  • 0 in reply to FrankBarmentlo
    what I' ve done for torrenting is this:
    Routing:
      DNAT:
        Source: Any Ipv4
        service: port bittorrent uses(Laptop = 65535, Desktop 65534 as examples),
        destination: external(address)

        change destination to: the destination that fits the port mentioned above
    Firewall
    DNAT' s auto-firewall rules are checked
    no special rules have been made

    IPS: disabled the rules mentioned in earlier posts

    if I recall correctly that's all you have to do [;)]
    I tried this and I'm still finding that the firewall is dropping packets.

    I did the following:

    Created services for each host each with unique destination port

    name: bittorrent 
    type: TCP/UDP
    source: 1:65535
    destination: 688x



    Created DNAT rule for each host

    from: any
    using service: bittorrent 
    to: external WAN
    change destination to 
    automatically create firewall rule



    For each host (all running windows 7), I set utorrent to use the particular port with UPNP enabled.

    The number of packets seemed to reduce, but I am still getting quite a few (up to 10's of thousands / day) packets dropped for both tcp and udp.

    The only difference I can see is that I used any ipv4 or ipv6, rather than any ipv4 as shown above.

    Any suggestions?

  • 0
    bimmerdriver, do these dropped packets have a source IP from your internal network or Internet IP address?

    what services are you allowing out from your internal network? 

    If you are not allowing all services out, you will need to add a firewall rule to allow traffic out from your PC running utorrent that is opposite of the service you use for the dnat.

    ex: Service "bittorrent out"
    source: 688x
    destination: 1:65535

    Firewall rule:
    PC -> "bittorrent out" -> Internet