packet filter problems

What masquerading rules do you have in place?

As an example, to get Bit Torrent to work, you must have a rule in place that maps TCP port 6881 on the WAN interface to the machine on the LAN that is running your Bit Torrent client. If you use a premium Bit Torrent client such as Azureus, port 6881 is the only one you need to map and filter for. You don't need port 6882 - 6889 for anything.

As for any other services that you wish to present to the outside world,  SNAT masquerading rules will have to be created for them as well.  Setting up packet filter permissions is not enough, you also have to map the relevant port traffic in through the network address translator via masquerading rules.

my only  NAT rule is:

name: masq_int-ext
type:  masquerading
network: internal(network)
Interface: external

what do you think how the other rules must be?
and why they must be? i dont understand that..

thanks for your help! [:)]

Masquerading the Internal network behind the WAN interface, which you have already done, is the first, and most obvious rule that you have to create, since that is the rule that lets the machines on the Internal network see out to the Internet.

A Bit Torrent client is a combined client/server. The outside world will need to see in through your ASL firewall on TCP port 6881 to communicate with it. You must therefore create a SNAT masquerading rule to allow for this.

You do it this way:

1. Define your LAN workstation that is running the Bit Torrent client under networks in ASL. Use a netmask of 255.255.255.255 for the machine definition.

2. Define a service in ASL called BT-6881.
Type = TCP
Source port = 1024:65535
Destination port = 6881

3. Define a SNAT masquerade rule. 
Source address = Any
Destination address = External_Interface
Service = BT-6881
Change source to = No change
Change destination to = 
Service destination = No change

For packet filter rules, you need
From Internal_Network Any service to Any Allow
from Any BT-6881 service to Internal_Network Allow

Once  that is in place, your Bit Torrent client should work.

Stay away from older style Bit Torrent clients that require multiple ports to be opened. The Azureus client that I recommended is available from SourceForge (Google on Azureuz). However, it is written in Java, so you must have the latest (Edition 5) version of the Sun Java run time environment installed on your PC. You will also find that when running Bit Torrents, having 256 MB RAM in a Windows machine is not nearly enough, you really need 512 MB.

Another issue is that Bit Torrent traffic is capable of saturating your broadband connection. I recieved a letter of reprimand from my ISP the other day, because my traffic exceeded 100 GB this past month. My service plan limit is just 20 GB/month. The Azureus client allows you to define the maximum KB/sec in each direction that you wish to allow through the link.

Perhaps I'm being overly cautious, but do we really need to allow internal_network access to ANY port outbound?  I suppose I could allow access to ANY outbound port for at least one computer but I still hate to allow all outbound ports if not necessary.

I have followed the setup for bittorrent in the earlier message but I still cannot get azureus to work, it gives me a NAT error when I test port 6881 TCP.

Same here. I followed the earlier message exactly and still get a NAT error. No idea why. Seems my ASL just doesn't want to do port forwarding. Not only that, but I think the rule about Allowing Any service from the Internal network is a little silly. That's not forwarding, thats just opening everything up and defeating the whole point.

Same here. I followed the earlier message exactly and still get a NAT error. No idea why. Seems my ASL just doesn't want to do port forwarding. Not only that, but I think the rule about Allowing Any service from the Internal network is a little silly. That's not forwarding, thats just opening everything up and defeating the whole point.