iptables+torrent

[han1er]

Есть машинкак с iptables есть локалка с 3 подсетями нужно настроить iptables так что бы на одной машине работал torrent клиент , а все остальные машинки в сети ходили в инет только черз squid.
Помогите пожалуста а то совсем замучился с этими правилами
IP внешний статический
В сервере 2 сетевые карты одна из которых направлена в инет на другой крутятся 3 подсети

[Venegance]

Создаешь правило, которое редиректит всех кто через сквид на порт 3128

Код: Выделить всё

iptables -t nat -A PREROUTING -s ! ip_torrent_user -p tcp --dport 80 -j REDIRECT --to-ports 3128

[danger08]

Есть машинкак с iptables есть локалка с 3 подсетями нужно настроить iptables так что бы на одной машине работал torrent клиент ,

DNAT-ом на сервере прокинуть порты, используемые torrent-клиентом, на машину клиента.
А http-трафик заворачивать редиректом на squid, и фильтровать транзитный трафик на сервере.

Venegance, HTTP к торрентам отношения не имеет, смысла в "избирательном редиректе" нет.

[Venegance]

Полностью с тобой согласен. Если ты внимательно посмотришь на мое правило, то в сквид уйдут только пользователи, которым нужен http. Не ставилась задача дать торрент-юзерам http. Таким образом, пользователи, котрым нужен http, получат доступ через сквид к страницам в интернете, а для торрент-юзеров нужно в iptables создать правила, разрешающие использование торрент-портов. Также для торрент-юзеров отдельно нужно применить SNAT, так как ip у создателя темы постоянный. DNAT делать нужно в том случае, если он для торрент-юзеров захочет порт для входящих соединений открыть, но это не обязательно - у меня закрыт и я не парюсь.

[danger08]

Если ты внимательно посмотришь на мое правило, то в сквид уйдут только пользователи, которым нужен http. Не ставилась задача дать торрент-юзерам http.

Все остальные (то бишь, торрент-пользователи), по такой схеме тоже получат http. Только не через squid, а напрямую.

Таким образом, пользователи, котрым нужен http, получат доступ через сквид к страницам в интернете, а для торрент-юзеров нужно в iptables создать правила, разрешающие использование торрент-портов. Также для торрент-юзеров отдельно нужно применить SNAT, так как ip у создателя темы постоянный.

Да зачем все усложнять, множественные SNAT-ы. Будет достаточно одного общего SNAT на интерфейсе, глядящем в сторону провайдера.
А фильтровать кому, и куда можно - в FORWARD-ах filter-а.

Небольшое отступление: не всегда возможно жестко задать p2p-порты, используемые на клиенте. В общем случае, только l7 даст приемлемый результат, а все остальное - костыли.

Теме будет месяц; не думаю, что актуально для топикстартера.