Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 3 subscribers
  • Views 29761 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bit Torrent sync / firewall rules

crash893
okay im at my witts end here I thought i understood how the firewall works but i guess im not getting something


example from the log

01:58:12 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:12 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:19 Default DROP UDP 10.10.10.116 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=0:25:90:3c:2b:25 dstmac=0:1a:8c:12:86:a0
01:58:22 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:22 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0
01:58:29 Default DROP UDP 10.10.10.116 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=0:25:90:3c:2b:25 dstmac=0:1a:8c:12:86:a0
01:58:32 Default DROP UDP 10.10.10.194 : 42816 → 54.225.100.8 : 3000 len=125 ttl=127 tos=0x00 srcmac=2c:41:38:11:87:c3 dstmac=0:1a:8c:12:86:a0


the rule i setup was

Internal (network)→ BT Sync* → any

*BT Sync  UDP 1:65535 → 42816

Its dropping all the packets 

any pointers?


This thread was automatically locked due to age.
  • 0 in reply to dilandau
    bimmerdriver, do these dropped packets have a source IP from your internal network or Internet IP address?

    what services are you allowing out from your internal network? 

    If you are not allowing all services out, you will need to add a firewall rule to allow traffic out from your PC running utorrent that is opposite of the service you use for the dnat.

    ex: Service "bittorrent out"
    source: 688x
    destination: 1:65535

    Firewall rule:
    PC -> "bittorrent out" -> Internet
    The packets being dropped are from external ip addresses, not internal. There are no packets being dropped that are sourced from internal addresses. For each host, I have a specific port (e.g., 6881, 6882, ...) and the DNAT rule is redirecting traffic for that port to the appropriate host, at least it's supposed to be doing that. For some reason, there are a lot packets being dropped. I can't figure out why it's not working.
  • 0
    Please show a line from the FIrewall log file (not the Live Log).

    Cheers - Bob
  • 0 in reply to BAlfson
    Please show a line from the FIrewall log file (not the Live Log).

    Cheers - Bob
    Here are a few lines: 

    2013:07:20-00:00:05 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="201.26.62.153" dstip="154.20.117.22" proto="17" length="131" tos="0x00" prec="0x00" ttl="115" srcport="50954" dstport="6882" 

    2013:07:20-00:00:11 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="82.67.43.105" dstip="154.20.117.22" proto="17" length="86" tos="0x00" prec="0x00" ttl="52" srcport="51413" dstport="6882" 

    2013:07:20-00:00:14 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="108.236.56.78" dstip="154.20.117.22" proto="17" length="131" tos="0x00" prec="0x00" ttl="116" srcport="58484" dstport="6882" 

    2013:07:20-00:00:14 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="178.204.21.22" dstip="154.20.117.22" proto="17" length="129" tos="0x00" prec="0x00" ttl="112" srcport="26301" dstport="6882" 

    2013:07:20-00:00:17 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="173.48.23.150" dstip="154.20.117.22" proto="17" length="134" tos="0x00" prec="0x00" ttl="115" srcport="59081" dstport="6882" 

    2013:07:20-00:00:20 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="178.169.92.240" dstip="154.20.117.22" proto="17" length="129" tos="0x00" prec="0x00" ttl="116" srcport="1024" dstport="6882" 

    2013:07:20-00:00:21 utm9 ulogd[4235]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="c:a4:2:29:51:6b" dstmac="0:15:5d:1:73:b" srcip="5.14.121.120" dstip="154.20.117.22" proto="17" length="131" tos="0x00" prec="0x00" ttl="116" srcport="38710" dstport="6882" 
  • 0
    Those are default drops out of the INPUT chain (60001).  My guess is that your DNAT violates what I call Rule #4:

    When creating DNATs for traffic arriving from the internet, in "Going to:" always use the
    "(Address)" object created by WebAdmin when the interface or the Additional Address was defined.
    Using a regular Host object will cause the DNAT to fail as the packets won't qualify for the traffic selector.


    Any luck with that?  

    Cheers - Bob
  • 0 in reply to BAlfson
    Those are default drops out of the INPUT chain (60001).  My guess is that your DNAT violates what I call Rule #4:

    When creating DNATs for traffic arriving from the internet, in "Going to:" always use the
    "(Address)" object created by WebAdmin when the interface or the Additional Address was defined.
    Using a regular Host object will cause the DNAT to fail as the packets won't qualify for the traffic selector.


    Any luck with that?  

    Cheers - Bob
    Thanks for the reply.

    I'm not sure what address object you are talking about. When I created the DNAT object, I dragged the address object for the particular host into the "going to" field. Is there some other address object?
  • 0
    Please [Go Advanced] below and attach a pic of the DNAT we're discussing. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0 in reply to BAlfson
    Please [Go Advanced] below and attach a pic of the DNAT we're discussing. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
    Here is a screen capture of the service definition:


    Here is a screen capture of the DNAT rule definition:


    "Going to" is the external WAN address, which is consistent with the packets being incoming.
  • 0
    That all looks right.  Let's log the initial packets and confirm that there's not something else capturing the packets first.

    Cheers - Bob
  • 0 in reply to BAlfson
    That all looks right.  Let's log the initial packets and confirm that there's not something else capturing the packets first.

    Cheers - Bob
    Pardon my ignorance, but kindly explain how to do that.
  • 0
    In +Advanced in the NAT rule. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.