Allow specific app to use proxy that is not filtered.

You need to allow outbound access with a firewall rule.  With torrents, since you cannot control what port their client is accepting connections on, the simplest thing is to make a Internal (Network)-->Any-->Any:Allow rule.

The logs will show which rule was triggered, but only if it is a manual rule that you've created in WebAdmin and you must enable logging on that rule.  This is why my personal preference is to not use "automatic firewall rules" checkboxes (which create hidden rules in the backend) and to manually create all the rules I need.  Provides easier visibility as to what is going on.

Yes.  I've done that before but I removed it as from what I saw it allowed any outbound  traffic from a host to be let free.  Please correct me if I'm wrong, but wouldn't this create a vulnerably, albeit a small one, as it is from the inside?  I guess my logic is if an infected or malicious machine were to be let on the network, could not it communicate with the outside, unabated by the firewall?  And this brings me back to my original question.  Is there a way to set up the ASG to accept incoming connection from an internal host IP[:P]ORT,  the firewall allow unfiltered access to the internet and the internal machine on that port, and manage PAT thru the one port.  I could use multiple ports if need be.  This would afford protection to the host on all ports except the one(s) used by the specific apps.  In this case utorrent. I thought this kind of design was a proxy, but with all this chat of NAT and such I'm beginning to think my assumption is wrong.  I know utorrent has a proxy feature but I've never used it and therefore do not know it's function.

Yes, you are correct, but for certain things like torrents, which don't use a single common port (like ftp or http for example), this methodology is unavoidable.  You can change the proposed rule a little bit to make it more granular.  Instead of the source being Internal (network), change it to the specific internal host that needs the access.

Network security is all about compromise between protection and usability.  Every time you allow any kind of access, you reduce your security posture a little bit.  The only way to be 100% completely secure is to block all accesses in or out and to turn all hosts off, although this reduces usability to 0%.  [:)]

Well I must say, you all have been of great help.  I have successfully configured Utorrent and several other apps.  Will now set up in production environment.  The server will sit outside for now, protected with its own firewall and Cisco router.  And Scott, amen.  0% is of no use to me.  And I like the analogy.

so2, I just glanced at your DNAT in Post #9, and noticed that it has "Internal (Network)" as the destination in the traffic selector portion of the rule - that can't work.  You need to have "External (Address)" as I mentioned in Post #2 and Post #6.  Also, it's a good habit to leave the 'Destination service' blank when not changing it.  The corrected rule, with a corresponding firewall rule or with 'Automatic firewall rule' selected, is all you should need to allow uTorrent clients on the internet to reach your server.

Cheers - Bob

Yes, I had noticed that and fixed it.  Thanks.

Cool!  I'm glad you're figuring this thing out.  Once you start to think in the Astaro metaphor, your Cisco background will make things really easy for you.

Again, welcome, and I look forward to having you participate here!

Cheers - Bob

Thank you.  It has been and will be a pleasure.