Почему не отрабатывает правило?

Обсуждение ПО и его настройки
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

qbittorrent ломится по IGD и публикует свой порт. А адрес уж какой ему роутер даст.
Есть ещё nat-pmp но как я понял микротик его не поддерживает.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так а какие правила то UPnP автоматом создаёт?

И я другое имел ввиду - не то, как он порт просит открыть, а как сообщает на ретреккер (или куда там), что мол я такой-то доступен там то.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic

5 D ;;; upnp 192.168.66.2: qBittorrent/4.3.5
chain=dstnat action=dst-nat to-addresses=192.168.66.2 to-ports=50002 protocol=tcp dst-address=my_ext_ip in-interface=WAN-ether1 dst-port=50002

6 D ;;; upnp 192.168.66.2: qBittorrent/4.3.5
chain=dstnat action=dst-nat to-addresses=192.168.66.2 to-ports=50002 protocol=udp dst-address=my_ext_ip in-interface=WAN-ether1 dst-port=50002

А вот как на ретрекер или куда там сообщает-вопрос. Действительно, по идее на какой-нибудь управляющий сервер он может лезть по другому порту и тогда его могло бы кинуть через gre1.
Но:
1)По идее dst-nat на той сторое gre1 нет... если я конечно не накосячил в настройках т.к. там убунта и я мог.
2)со стороны gre1 на микротике запрещены новые соединения(как раз на случай если я накосячил с настройкой убунты).


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну раз пакеты прилетают на микротик из gre, значит все-таки они летят оттуда, со стороны убунты. Логично? :)

Были б это ответные пакеты, они были бы приняты обычным правилом accept established,related (если оно есть).

А вот что из этого следует - пока не понятно.

Ещё одна мысль: fasttrack выключен на то, что ходит не по основному маршруту?
А то вполне может оказаться, что mangle в холостую работает...


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Логично, я этого не отрицаю. Только это не похоже на то, что инициатором соединения является ТА сторона.
Есть правило, не новое соединение, я вам его показывал.
Правила established,related у меня отключено дабы не портить статистику других правил. Производительности хватает.
Fasttrack не использую вообще
Я проверял. создал правило на форвард, в котором роутинг марк Torrent, а роутинг тэйбл main. Срабатываний 0, значит корректно отрабатывает.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Lurker писал(а): 16 июл 2021, 13:36 Правила established,related у меня отключено дабы не портить статистику других правил.
Тогда возможно это и есть наглядная работа попытки публикации инфы "о себе" на ретреккере - торрент стучится наружу "со своего" порта, под мангл оно не попадает, улетает в туннель, но обратный пакет сбрасывается firewall'ом.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

А с чего бы ему с сбрасывать пакет? Ответный пакет уже не первый, т.е. соединение НЕ "new". А старые должно пропускать.
И это работает я так на зароскомнадзорненные ip хожу, проблем нет.
Фаервольные правила не запрещают ходить торренту через туннель, Он мимо туннеля должен летать чисто по роутинг марк.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Lurker писал(а): 16 июл 2021, 14:07 А с чего бы ему с сбрасывать пакет?
Ну сбросился то он, потому что до этого не был принят ничем - так что вопрос опять же к тому, почему правило из первого поста не сработало :)


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Нашёл объяснение для
End forward rules forward: in:gre1 out:LAN-bridge, proto UDP, 213.141.131.177:37476->192.168.66.2:50002
1)торрент открывает порт 50002 по upnp на микротике.
2)На него прилетает UPD пакет на 50002 и отправляется торренту.
3)Торрент отправляет пакет с 50002. Но правила слать всё с 50002 напрямую в интернет нет, с некоторой вероятностью он улетает в GRE1 и оттуда вылетает в интернет.
4(предположительно) другой торрент в интернете увидев, что пакет прилетел с другого IP начинает слать пакеты на новый IP.
5(предположительно)Микрот видит что пакеты стали прилетать из другого интерфейса, не определяет это как уже действующие соединение и дропает пакеты т.к. новые соединения с того интерфейса запрещены.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну вот я примерно так и предполагал - что он "свой" порт тоже как-то использует для выхода наружу, а не только для доступа внутрь.

То есть тут просто надо добавить правило, которое и уходящее с 50002 тоже будет заворачивать мимо туннеля.


Telegram: @thexvo
Ответить