Torrent setup

Hi there. I've read through this entire thread and a few others and have followed the recommendations to use the SOCKS5 proxy for Torrents, using a server running deluged. I previously had implemented the firewall and IPS rules as described earlier in this thread. I turned off the firewall rules when I started to use SOCKS but forgot about the IPS rule, which I left in place. However, I've noticed that UDP flood detection still appears to be triggered. Here's one example (of thousands) in the IPS log:

2015:08:20-06:26:27 styx ulogd[27728]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="[redacted]" dstmac="[redacted]" srcip="[redacted]" dstip="[redacted]" proto="17" length="1453" tos="0x00" prec="0x00" ttl="118" srcport="24702" dstport="35033" 

dstip is the external IP address assigned by my ISP and doesn't change from entry to entry. srcip and srcmac do vary, as does the srcport. dstport however is always 35033. In deluged, I have specified it to use 56681 for both incoming ports and outgoing ports, so the 35033 value is a bit perplexing.

I seem to have connectivity through deluged (albeit very low throughput - a few hundred kbps vs approx 20 mbps I had previously before implementing Sophos). 

Anyway, my primary concern now is trying to understand why IPS is being triggered. It seems to be related to deluged as the log entries like those above start piling up when a new torrent is added. Any thoughts or suggestions would be most appreciated.

Hi there. I've read through this entire thread and a few others and have followed the recommendations to use the SOCKS5 proxy for Torrents, using a server running deluged. I previously had implemented the firewall and IPS rules as described earlier in this thread. I turned off the firewall rules when I started to use SOCKS but forgot about the IPS rule, which I left in place. However, I've noticed that UDP flood detection still appears to be triggered. Here's one example (of thousands) in the IPS log:

2015:08:20-06:26:27 styx ulogd[27728]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="[redacted]" dstmac="[redacted]" srcip="[redacted]" dstip="[redacted]" proto="17" length="1453" tos="0x00" prec="0x00" ttl="118" srcport="24702" dstport="35033" 

dstip is the external IP address assigned by my ISP and doesn't change from entry to entry. srcip and srcmac do vary, as does the srcport. dstport however is always 35033. In deluged, I have specified it to use 56681 for both incoming ports and outgoing ports, so the 35033 value is a bit perplexing.

I seem to have connectivity through deluged (albeit very low throughput - a few hundred kbps vs approx 20 mbps I had previously before implementing Sophos). 

Anyway, my primary concern now is trying to understand why IPS is being triggered. It seems to be related to deluged as the log entries like those above start piling up when a new torrent is added. Any thoughts or suggestions would be most appreciated.