Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 34 replies
  • Subscribers 2 subscribers
  • Views 265456 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Torrent setup

crash893
Okay im still a little shakey on how to set this up


so far ive set up in the firewall


computer -> tcp/udp 50581 -> any ip4
any ip4 -> tcp/udp 50581 -> computer


I've also setup a dnat

any -> tcp/udp 50581 -> external network
dest: computer


still I have nothing

Any ideas?

I don't think Dnat is the right destination becuase i might have multiple torrent clients on the network


This thread was automatically locked due to age.
  • 0 in reply to DaMaN841
    William,

    Would you be able to shine some light on DNSClosed proxy? I don't think it is necessary for my use case, however, I'd be curious to know what is involved. Thanks!

    Cheers,
    Kyle
  • 0 in reply to DaMaN841
    Hi xianx,

    I can take a few screenshots of my port based BitTorrent UTM Configuration and either post them here or send them to you via a private message. 

    As William said, as well as enlightened me with regards to not needing DNAT for SOCKS5, it's as simple as a Username and Password with a BitTorrent Client that supports proxy; Deluge, uTorrent, older versions of Transmission, etc. 

    This has actually changed my perspective toward SOCKS5 and has effectively convinced me not to return to a port based BitTorrent approach. I simply need to endure some traffic being reported as Skype (pet peeve) [:D]


    want to know why it's reported as skype?  skype is nearly 100% p2p based..[[:)]]  you can force it into a less promiscuous mode but not by much..[[:)]]
  • 0 in reply to DaMaN841
    William,

    Would you be able to shine some light on DNSClosed proxy? I don't think it is necessary for my use case, however, I'd be curious to know what is involved. Thanks!

    Cheers,
    Kyle


    start another thread about this one please..[:)]
  • 0 in reply to DaMaN841
    William,

    Would you be able to shine some light on DNSClosed proxy? I don't think it is necessary for my use case, however, I'd be curious to know what is involved. Thanks!

    Cheers,
    Kyle


    oh as a further aside.  If you do NOT turn on socks authentication the socks proxy acts as either v4 or 5.  The socks proxy only operatess in v5 mode if authentication is turned on..[:)]
  • 0 in reply to William Warren
    I suppose that makes sense with regards to Skype. Seems like it would be nice to be configurable, however, I understand that sort of defeats the purpose.

    In light of that, I actually wanted to mention that even when using a SOCKS5 Proxy, I'm still seeing an incredible amount of traffic on 51416, both UDP and TCP, which is the port I had previously DNAT'd for the BitTorrent Client. That being said, the traffic only touches the UTM, not the Internal Host, which validates that a DNAT isn't necessary (not that I didn't trust you). To that end, I wonder if it is wise, aside from tracking purposes, (even though you'd still be able to see SOCKS 1080 traffic per host) if in a multiple client scenario, to still use different ports for each client, or if using the default for each would suffice.

    I'll happily start another thread for the DNS inquiry.

    I've forced Authentication to ensure SOCKS5...I'm a stickler for ensuring only permitted users (me) can use it, in the off chance someone was allowed to access the Internal Network. I do not allow Guest Network access to that [:D]
  • 0 in reply to DaMaN841
    I suppose that makes sense with regards to Skype. Seems like it would be nice to be configurable, however, I understand that sort of defeats the purpose.

    In light of that, I actually wanted to mention that even when using a SOCKS5 Proxy, I'm still seeing an incredible amount of traffic on 51416, both UDP and TCP, which is the port I had previously DNAT'd for the BitTorrent Client. That being said, the traffic only touches the UTM, not the Internal Host, which validates that a DNAT isn't necessary (not that I didn't trust you). To that end, I wonder if it is wise, aside from tracking purposes, (even though you'd still be able to see SOCKS 1080 traffic per host) if in a multiple client scenario, to still use different ports for each client, or if using the default for each would suffice.

    I'll happily start another thread for the DNS inquiry.

    I've forced Authentication to ensure SOCKS5...I'm a stickler for ensuring only permitted users (me) can use it, in the off chance someone was allowed to access the Internal Network. I do not allow Guest Network access to that [:D]


    you will see that traffic until the swarm catches up with the fact you aren't on those ports anymore..it can take a bit depending no how active you were..[:)]
  • 0 in reply to William Warren
    Good call on that. After I disabled the DNAT, traffic on that port dissipated until it no longer existed. You've certainly changed my perspective on SOCKS5! Thanks again!
  • 0 in reply to William Warren
    if you use the socks proxy no dnat is needed.


    Agreed, for the SOCKS5 Port...
    I should have clarified, the SOCKS5 I'm using it is not hosted on my UTM, it's a 3rd party SOCKS5 which provided me with an external hostname/ip and user/pass. 
    If I disable DNAT for the incomming connections port eg. 55121, I noticed some of my seeds/uploads stop. Downloading still works.

    Also, in my case I cannot change from port 1080 since it is defined by the 3rd party proxy & vpn provider.
  • 0
    Hi there. I've read through this entire thread and a few others and have followed the recommendations to use the SOCKS5 proxy for Torrents, using a server running deluged. I previously had implemented the firewall and IPS rules as described earlier in this thread. I turned off the firewall rules when I started to use SOCKS but forgot about the IPS rule, which I left in place. However, I've noticed that UDP flood detection still appears to be triggered. Here's one example (of thousands) in the IPS log: 


    2015:08:20-06:26:27 styx ulogd[27728]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="[redacted]" dstmac="[redacted]" srcip="[redacted]" dstip="[redacted]" proto="17" length="1453" tos="0x00" prec="0x00" ttl="118" srcport="24702" dstport="35033" 


    dstip is the external IP address assigned by my ISP and doesn't change from entry to entry. srcip and srcmac do vary, as does the srcport. dstport however is always 35033. In deluged, I have specified it to use 56681 for both incoming ports and outgoing ports, so the 35033 value is a bit perplexing.

    I seem to have connectivity through deluged (albeit very low throughput - a few hundred kbps vs approx 20 mbps I had previously before implementing Sophos). 

    Anyway, my primary concern now is trying to understand why IPS is being triggered. It seems to be related to deluged as the log entries like those above start piling up when a new torrent is added. Any thoughts or suggestions would be most appreciated.
  • 0
    Sorry - just one addition: I'm also noticing a bunch of the following entries on the IPS log:


    2015:08:20-12:02:37 styx ulogd[20376]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth0" srcmac="[redacted]" dstmac="[redacted]" srcip="[redacted]" dstip="[redacted]" proto="17" length="58" tos="0x00" prec="0x00" ttl="64" srcport="56681" dstport="40857"


    srcip is the internal IP address of the computer on which deluged is running and dstip is the internal IP address for the UTM. Neither changes and neither do srcprt or dstport.