# IPTABLES help!!!

## traggart

ciao,

mi sono accorto che libero adsl è una fregatura perchè per tenere alta la 

banda su protocolli tipo http, ftp ecc ecc che viaggano su porte di 

sistema(0-1024) bloccano le altre porte a 40KByte/sec massimi.

=>P2P lentissimo cazzo!!!!

La soluzione e redirezionare le porte, e ho un router d-link dsl-500, ho 

impostato per esempio 443 con tcp (https) su una porta a caso tipo 12345

ma in realtà redireziona un range di porte da source to end(quindi redireziona da ambo le parti?), però redireziona tranquillamente il numero di 

porta del router sullo stesso numero di porta del pc(ma da ambo le parti?).

Da windows va a meraviglia se per esempio redireziono 443 su 443 perchè sono 

amministratore, ma far girare p2p da root su linux non mi va a genio.

=>ho ben pensato di smanettare su iptables per redirezionare porta 443 su 

12345 in modo che qualsiasi utente possa usarla(notare che se nel router 

redireziono 12345 su 12345 posso usarla da qualsiasi utente e funzia ma fino 

a 40KByte)

non sono esperto di iptables ma mi sembra di aver capito che si fa così:

#!/bin/bash

# enable ip forward

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables --flush

/sbin/iptables -t nat --flush

/sbin/iptables -t mangle --flush

/sbin/iptables --policy INPUT ACCEPT

/sbin/iptables --policy OUTPUT ACCEPT

/sbin/iptables --policy FORWARD ACCEPT

/sbin/iptables -t nat --policy PREROUTING ACCEPT

/sbin/iptables -t nat --policy OUTPUT ACCEPT

/sbin/iptables -t nat --policy POSTROUTING ACCEPT

/sbin/iptables -t mangle --policy PREROUTING ACCEPT

/sbin/iptables -t mangle --policy OUTPUT ACCEPT

# enable destination port redirect from 443 a 4358 over tcp and ... over udp

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 443 -j DNAT 

--to-destination 192.168.0.2:4385

iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4385 -j SNAT 

--to-source 192.168.0.2:443

iptables -t nat -A PREROUTING -p udp -d 192.168.0.2 --dport 444 -j DNAT 

--to-destination 192.168.0.2:5348

iptables -t nat -A POSTROUTING -p udp -s 192.168.0.2 --sport 5348 -j SNAT 

--to-source 192.168.0.2:444

exit 0

#end code

sta roba pare svegli una certa redirezione e pare che gli ultimi 4 comandi 

siano queli giusti...ma proprio non passa un cacchio per quelle porte!!!

cioè poi con 

# iptables -t nat -nv -L 

vedo che passa qualche pacchetto ogni morte del papa e che viene bellamente 

scartato...

inoltre dal client mi vedo "port 4385 unreachable"

qualcuno sa come si mette a posto tutto ciò,

spero di essere stato chiaro.

----------

## comio

 *traggart wrote:*   

> ciao,
> 
> mi sono accorto che libero adsl è una fregatura perchè per tenere alta la 
> 
> banda su protocolli tipo http, ftp ecc ecc che viaggano su porte di 
> ...

 

Leggi il tuo contratto... vedi se si fa cenno alla cosa. Attento alle clausole MINIMO GARANTITO. Eventualmente puoi rivolgerti a qualche associazione consumatori.

ciao

----------

## traggart

non è+ quello il problema!

mi serrve redirezioanre bene!

----------

## grentis

Io ho libero adsl ma non ho mai riscontrato questo problema...anzi    :Wink: 

----------

## .:chrome:.

ma non spariamo vaccate, per favore...

il p2p non è lento perché c'è un qualche tipo di congiura governativa alle tue spalle.

libero non c'entra niente, e l'operazione che vuoi fare tu è inutile; tanto più che parli di porte privilegiate, ma i programmi p2p non usano http, https o ftp, ma porte non privilegiate

e comuqnue grentis ti ha smentito, e lo stesso faccio io, che scarico alla massima capacità della mia linea

----------

## traggart

di gente che ha lo stesso mio problema ce n'è tanta, e dipende da dove vive, le politiche di routing non sono mica uguali dappertutto, dipendon da un sacco di cose, se attoreno a me ci sono dei cavi che fanno o schifo o cmq degli apparati insufficienti in qualche modo devono limitare il traffico!!

il p2p può andare in qualsiasi porta che gliene frega al p2p!?!?!? sono solo protocolli applicativi che girano su tcp e/o udp come tutti gli altri protocolli applicativi!!

e quello che voglio fare non è per nulla inutile, è la soluzione, basta trovare qualcuno che ne capisca più di me!

----------

## Occasus

cioa,

io non ho mai avuto quel problema.

comunque, prova a seguire questa guida: http://www.p2pforum.it/forum/showthread.php?t=38236&page=1&pp=25

----------

## comio

non mi è chiaro esattamente cosa vuoi fare... (mettere come src port sempre una privilegiata?) comunque, dal man iptables c'è questo:

```

  REDIRECT

       This target is only valid in the nat table, in the PREROUTING  and  OUTPUT  chains,  and  user-defined

       chains  which  are  only  called  from those chains.  It alters the destination IP address to send the

       packet to the machine itself (locally-generated packets are mapped  to  the  127.0.0.1  address).   It

       takes one option:

       --to-ports port[-port]

              This  specifies a destination port or range of ports to use: without this, the destination port

              is never altered.  This is only valid if the rule also specifies -p tcp or -p udp.

```

od eventualmente andare di SNAT/DNAT...

ciao

----------

## .:chrome:.

 *traggart wrote:*   

> di gente che ha lo stesso mio problema ce n'è tanta, e dipende da dove vive, le politiche di routing non sono mica uguali dappertutto, dipendon da un sacco di cose, se attoreno a me ci sono dei cavi che fanno o schifo o cmq degli apparati insufficienti in qualche modo devono limitare il traffico!!
> 
> il p2p può andare in qualsiasi porta che gliene frega al p2p!?!?!? sono solo protocolli applicativi che girano su tcp e/o udp come tutti gli altri protocolli applicativi!!
> 
> e quello che voglio fare non è per nulla inutile, è la soluzione, basta trovare qualcuno che ne capisca più di me!

 

appunto se la connessione è lenta per ragioni fisiche, cosa credi che cambi, cambiando la porta? non cambi cavo, ma solo un'intestazione nei pacchetti TCP/UDP. se la limitazione deriva dallo stato della linea non puoi farci niente.

ti sto solo spiegando questo. se vuoi capirlo, che stai facendo una cosa inutile o che stai percorrendo la strada sbagliata bene, se no accanisciti pure nella tua convinzione di avere ragione

----------

## traggart

e di nuovo, le "well known port" non sono filrate, sono filtrate solo quelle dopo 1024, altrimenti perchè riesco a navigare in tutta liberà e a scaricare non ce la faccio!?!?!?!??!?!!?

perchè da windows su 12345(o altre non di sistema) non funziona, mentre su 443 per esempio funziona!?

sei tu che non vuoi capire e hai anche un tono un pò troppo saccente! non aiuti affatto con il tuo atteggiamento

grazie Ocassus, sto provando a vedere se funziona quello che mi ha segnalato!

----------

## Kernel78

 *traggart wrote:*   

> e di nuovo, le "well known port" non sono filrate, sono filtrate solo quelle dopo 1024, altrimenti perchè riesco a navigare in tutta liberà e a scaricare non ce la faccio!?!?!?!??!?!!?

 

Tra navigare a 40kb/s e 150 kb/s (la velocità espressa in kb/s di una linea da un 1,2 Mbit/s) la differenza è difficilmente avvertibile ...

Prima che inserissi questo mio post la pagina pesava 51421 bytes quindi per scaricarla a 40 kb/s ci metti poco più di 1 secondo mentre a 150 kb/s ci metti un terzo di secondo quindi avverti maggiormente il tempo relativo alla ricerca del dns che non la reale velocità di navigazione...

 *Quote:*   

> 
> 
> perchè da windows su 12345(o altre non di sistema) non funziona, mentre su 443 per esempio funziona!?
> 
> sei tu che non vuoi capire e hai anche un tono un pò troppo saccente! non aiuti affatto con il tuo atteggiamento

 

Personalmente sembra quantomeno pazzesco che si mettano a filtrare delle porte prediligendone altre soprattutto visto che la richiesta di banda per la navigazione è una minima frazione di quella offerta dalla banda larga, sarebbe come avere un'autostrada libera e andarci a 50 km/h ammirando il panorama  :Laughing: 

La banda larga viene sfruttata solo per p2p e discriminarlo significa perdere clienti e gli isp lo sanno meglio di noi  :Wink: 

----------

## comio

 *Kernel78 wrote:*   

> 
> 
> La banda larga viene sfruttata solo per p2p e discriminarlo significa perdere clienti e gli isp lo sanno meglio di noi 

 

secondo me non è da escludere il traffic-shaping su alcune porte.

ciao

----------

## .:chrome:.

 *traggart wrote:*   

> e di nuovo, le "well known port" non sono filrate, sono filtrate solo quelle dopo 1024, altrimenti perchè riesco a navigare in tutta liberà e a scaricare non ce la faccio!?!?!?!??!?!!?
> 
> perchè da windows su 12345(o altre non di sistema) non funziona, mentre su 443 per esempio funziona!?

 

come ti hanno già detto è pazzesco che alcune porte vengano filtrate nel modo che intendi tu

significherebbe tagliare alla base un numero imprecisato di servizi e attirarsi la collera e gli avvocati di un numero imprecisato di clienti

controlla la configurazione della tua macchima. la rete non può essere.

se vuo iaccettare un configlio da gente che le reti LE FA, bene... se devi venire ad isegnare il lavoro a chi lo fa, probabilmente il forum non è l'ambiente giusto

se veramente quello che ti preoccupa è la velocità di connessione, informati sullo stato della connessione dell'utente a cui sei collegato, sullo stato delle linee, procurati una statistica dei pacchetti su quella linea, verifica lo statio dei server e dei gateway a cui sei attestato.

le porte non c'entrano niente

----------

## Kernel78

Ho appena iniziato a leggere il numero estivo di LM e ho trovato un articolo che mi ha chiarito la situazione (non sono un grande esperto di reti).

L'articolo chiarisce che utilizzare un p2p dietro un router potrebbe portare a forti rallentamenti se questo (il router) non è impostato per instradare i pacchetti verso l'ip del pc. Visto che il router nasconde l'ip della macchina bisogna configurarlo affinchè provveda a fare, cito testualmente, "port forwarding" o "NAT"

Questa potrebbe essere una delle cause dei tuoi rallentamenti senza andare a scomodare ipotesi bislacche...

se libero volesse limitare la velocità su alcune porte per dare un'impressione di maggior velocità globale potrebbe limitare tranquillamente la velocita di navigazione su web e il 99% degli utenti non se ne accorgerebbero mentre limitando le porte del p2p metterebbero sul piede di guerra altrettanti utenti.

----------

## .:chrome:.

 *Kernel78 wrote:*   

> Ho appena iniziato a leggere il numero estivo di LM e ho trovato un articolo che mi ha chiarito la situazione (non sono un grande esperto di reti).
> 
> L'articolo chiarisce che utilizzare un p2p dietro un router potrebbe portare a forti rallentamenti se questo (il router) non è impostato per instradare i pacchetti verso l'ip del pc. Visto che il router nasconde l'ip della macchina bisogna configurarlo affinchè provveda a fare, cito testualmente, "port forwarding" o "NAT"

 

lo escludo: fose hai frainteso il senso dell'articolo...

io sto dietro un router ADSL, su cui non ho impostato nessun port forwarding, a parte la porta 22

il risultato è che le connessioni possono uscire, e le connessioni di ritorno, in stato RELATED,ESTABLISHED, vengono nattate liberamente.

quello che non si può fare è aprire una connessione nuova (stato NEW) verso la mia macchina. questo rende del tutto non funzionanti programmi che fanno il direct connect, ma non è possibile che rallenti i p2p in generale.

quando usi un programma p2p, questo ha una informazione sul protocollo, e quindi su una porta da usare. si collega direttamente a quelal porta, e poi ritornano delle connesisoni in stato RELATED su porte non privilegiate. tutto qui. è il modo in cui funzionano tutti i protocolli di rete.

la distinzione tra porte privilegiate e non è impossibile, se non a livello logico.

filtrare le non privilegiate vorrebbe dire stroncare ogni tipo di servizio, e questo dimostra quanto sia balzana e insensata la teoria avanzata all'inizio del thread. oltretutto fare una traslazione di porta come quella richiesta renderebbe non funzionanti molti altri servizi, come il web

l'unica cosa che può influenzare la velocità di connessione è lo stato (fisico e di congestione delle linee) lo stato di congestione del server e la banda messa a disposizione dall'utente che sta all'altro capo della connessione

----------

## Kernel78

 *k.gothmog wrote:*   

>  *Kernel78 wrote:*   Ho appena iniziato a leggere il numero estivo di LM e ho trovato un articolo che mi ha chiarito la situazione (non sono un grande esperto di reti).
> 
> L'articolo chiarisce che utilizzare un p2p dietro un router potrebbe portare a forti rallentamenti se questo (il router) non è impostato per instradare i pacchetti verso l'ip del pc. Visto che il router nasconde l'ip della macchina bisogna configurarlo affinchè provveda a fare, cito testualmente, "port forwarding" o "NAT" 
> 
> lo escludo: fose hai frainteso il senso dell'articolo...
> ...

 

Ripeto di nuovo che non sono esperto di reti (cerco di imparare il più possibile ma non mi basta mai il tempo).

 *Articolo di LM wrote:*   

> 
> 
> Se il sistema su cui è installato aMule (xMule, eMule), è protetto da un firewall o l'accesso alla rete avviene mediante un router, avremmo sempre un ID basso e le nostre connessioni risulteranno lente.

 

Non sto a quotare tutto l'articolo (per ovvi motivi) ma questa è la premessa e vengono sviluppate soluzioni per risolvere questi problemi.

Io non so a priori se sia giusto o meno visto che non conosco l'argomento ma in genere mi fido di quello che scrivono. Avendo letto la tua risposta (non ostante ritenga che a volte tu abbia un tono un po' troppo saccente  :Wink:  ) tendo a fidarmi più di te (almeno sull'argomento, visto che hai dato prove di conoscenze che per me ti portano allo stato di guru  :Cool:  ), semplicemente ci tenevo a specificare che io non fraintendo  :Laughing: 

----------

## .:chrome:.

 *Articolo di LM wrote:*   

> 
> 
> Se il sistema su cui è installato aMule (xMule, eMule), è protetto da un firewall o l'accesso alla rete avviene mediante un router, avremmo sempre un ID basso e le nostre connessioni risulteranno lente.

 

beh... è vero... ma quello è un atro discorso, che riguarda solo xMule, e non il p2p in generale.

in ogni caso, io uso aMule, a casa, e per quel poco che lo uso quando vengo limitato è colpa del tizio da cui sto scaricando, perché in buone condizioni, e con una lunga lista di download attivi, i 40 kB/s li ho raggiunti e superati.

ciò non toglie che un port translation è immotivato, e sbagliato

 *Kernel78 wrote:*   

> tono un po' troppo saccente

 

è sempre bello quando il primo che passa pretende di insegnarti il tuo lavoro (non mi riferisco a te) e non appena apre bocca si capisce che parla di cose delle quali non intuisce nemmeno lui il senso...

scusate ma è più forte di me: non ce la faccio a non asfaltarli

----------

## grentis

Stando al tuo ragionamento di "bloccaggio di porte" se io, ditta Pinco Pallino interessanta non a grossissime bande (un'ADSL 1,2M mi basta) scelgo libero...non posso mettere un qualsiasi mio programma su porte "strane" perche' altrimenti me le limitano?

Ma stiamo scherzando? Dove c'e' scritto che io non "posso" (o meglio non dovrei) usare quelle porte per farci quello che voglio perche' rischio di vedermi limitato il traffico? 

Sarebbe molto piu' difficile gestire il numero di lamentele che porterebbe una simile soluzione che lasciare la banda a tutte le porte...

----------

## jos3ph

 *traggart wrote:*   

> ciao,
> 
> mi sono accorto che libero adsl è una fregatura perchè per tenere alta la 
> 
> banda su protocolli tipo http, ftp ecc ecc che viaggano su porte di 
> ...

 

ehm, questa è una vaccata.........

i protocolli come http negoziano la connessione sulla porta 80, ma poi si spostano su una porta random maggiore di 1024 stabilita dal server (e accettata dal client), quindi non ha senso quello che stai scrivendo, perchè se bloccassero le porte maggiori di 1024 a 40kbyte bloccherebbero proprio la navigazione.

ciao.

----------

## .:chrome:.

 *jos3ph wrote:*   

> ehm, questa è una vaccata.........
> 
> i protocolli come http negoziano la connessione sulla porta 80, ma poi si spostano su una porta random maggiore di 1024 stabilita dal server (e accettata dal client), quindi non ha senso quello che stai scrivendo, perchè se bloccassero le porte maggiori di 1024 a 40kbyte bloccherebbero proprio la navigazione.

 

e non solo. tutti i protocolli funzionano così

----------

## jos3ph

 *k.gothmog wrote:*   

>  *jos3ph wrote:*   ehm, questa è una vaccata.........
> 
> i protocolli come http negoziano la connessione sulla porta 80, ma poi si spostano su una porta random maggiore di 1024 stabilita dal server (e accettata dal client), quindi non ha senso quello che stai scrivendo, perchè se bloccassero le porte maggiori di 1024 a 40kbyte bloccherebbero proprio la navigazione. 
> 
> e non solo. tutti i protocolli funzionano così

 

e infatti ho scritto "come http"  :Smile: 

comunque giusta correzione  :Smile: 

----------

## GiRa

Non ho letto tutto ma:

 - Metti un titolo sensato

 - Fai girare un qualsiasi applicativo di cui hai il pieno controllo sulla 80 e poi su una porta non well known e vedi se trovi differenze di banda (non credo proprio).

Fare un controllo sulle porte sarebbe veramente costoso per un provider!

----------

## traggart

si spostano le altre porte...con ciò mi distruggi proprio la teoria!

eppure sono tre mesi che testo e questa è apparsa l'unica soluzione per quanto riguarda windows, per cui mi sembrava normale che lo fosse anche per linux.

cioè windows

->porta12345* 40kb non li supera e non si abbassa su un grafico è una linea orizzontale

->porta443 150kb raggiunti anche dopo 5 minuti (usando gli stessi file)

linux

->porta12345* 40kb come sopra e stessi file

->porta 443...mai riuscito a provarla

come cacchio si spiega che funzioni con 443 in windows, ma non una volta, sempre cavolo!

visto che le reti le fai, probabilmente avrai una risposta migliore della mia!

----------

## Kernel78

Che programma usi per il p2p ? molti permettono di impostare la porta di funzionamento così puoi anche fare le tue prove (anche se mi IMHO sembrano assurde) senza dover usare iptables

----------

## traggart

ma cambio porta, solo che in sistemi unix non puoi usare porte <1024 se non sei root, allora volevo provare a redirezionarla, ma non ci riesco

----------

## .:chrome:.

invece che elaborar teorie per conto tu, ti suggerirei qualche buon libro di telecomunicazioni  :Smile: 

come ti è già stato detto, il traffico non avviene su porte privilegiate, ma su quelle non privilegiate, sempre ed in ogni caso

se contatti un server web, fai una chiamata sulla porta 80, ma le connessioni di ritorno avvengono su porte non privilegiate (>1024) sempre ed in ogni caso.

lo stesso vale per qualunque tipo di servizio

spostare un servizio da porta privilegiata a non significa solo renderlo inutilizzabile, perché non verrà più riconosciuto per quello che è

ti ho giòà detto che la velocità di download sui p2p dipende dallo stato delle linee, delal connessione, e dei server. verifica quello, se vuoi capirci qualcosa.

probabilmente forzando una porta diversa il tuo programma si collega a un server diverso, semplicemente

----------

## traggart

questa argomentazione è già più interessante, come faccio a seguire una connessione su un porta piuttsto che un'altra?

----------

## traggart

quindi ho voluto provare il client da root, e chi se ne fregase per un pò sono più vulnerabile del solito!, ho provato la 443 e funzia benissimo, la 12345 funzia altrettanto bene...quindi cavolo è tutto da rifare, si tratta di capire perchèd a user non riesco a usare così bene il client!

----------

## .:chrome:.

 *traggart wrote:*   

> questa argomentazione è già più interessante, come faccio a seguire una connessione su un porta piuttsto che un'altra?

 

allora... vediamo se mettendola giù in un altro modo riusciamo a capirci...

il tuo problema non si risolve cambiando le porte

così è sufficientemente chiaro?

comunque, se proprio vuoi provare, leggiti la documentazione del tuo client

----------

## traggart

no no ho capio benissimo, non centra un client o l'altro nè le porte usate, quello che volevo dire, è che da admin funziona, da user non funziona così bene...quindi il problema probabilmente sarà di configurazione dll'user...vedo se riesco a capire cosa può essere

----------

## ---willy---

[OT]

@k.gothmog: scusami k.gothmog, ma anch'io non ho resistito dalla tentazione di dirti 2 cosine. per favore non prenderele a male, se ti ricordi ci siamo anche parlati in pvt -anzi, per essere precisi sono stato proprio io a chiederti un consiglio- quindi puoi capire che non ho nulla contro di te. però devi ammettere che il tono che usi tende un po' ad "indispettire" gli altri; sono sicurissimo che l'intenzione non è quella, o che magari "dal vivo" sarebbe diverso (ad esempio tante volte sul forum si vuol essere ironici e nessuno ti capisce  :Laughing:  ). cmq non credo proprio che nessuno voglia insegnarti il lavoro, è solo che quando uno ha un'idea, ed il primo sconosciuto gli dice senza dare spiegazioni che è uno che spara vaccate (all'inizio fai sempre così  :Wink:  ) ......bè, tende a difendere la sua idea, è normale. d'altronde come a te da fastidio l'attegiamento di uno che parla senza aver letto libri di telecomunicazioni, anche agli altri può dar fastidio l'attegiamento di uno che siccome lavora in quel campo fa il saccente e "asfalta" gli altri. se sai qualcosa in più, credo che chiunque qui sarebbe felice di imparare da te, se condividi le cose che sai. per questo nasce il forum.

e poi, se ci lavori su, è normale che tu ne sappia qualcosa! se tutti facessero così, sai quanti ti asfalterebbero per le vaccate che dici in altri campi??  :Very Happy: 

un'ultima cosa: potrebbe anche esserci anche qualcuno che ne capisce più di te nel tuo campo.....o no??  :Smile: 

[/OT]

scusate l'OT ragazzi

----------

## .:chrome:.

[OT]

@---willy---: hai ragione. non ho mai dato torto a chi mi dice queste cose (e successo più di una volta, aimé). però sono io il primo a dire di non fare caso ai miei atteggiamenti, perché so di essere troppo impulsivo.

ad ogni modo quando sono nati malintesi ho sempre cercato di mettere le opportune pezze ai danni che facevo  :Wink: 

[/OT]

----------

## ---willy---

 :Very Happy: 

sorry per la "ficcanasata" eh  :Wink: 

----------

## traggart

che poi di libri sulle telecomunicazioni ne ho letti, solo che magari qualcosa mi sfugge, anche perchè tanta teoria spesso vale meno di poca pratica...

cmq ci eravamo già capiti  :Laughing: 

----------

## Tiro

 *k.gothmog wrote:*   

> 
> 
> io sto dietro un router ADSL, su cui non ho impostato nessun port forwarding, a parte la porta 22
> 
> il risultato è che le connessioni possono uscire, e le connessioni di ritorno, in stato RELATED,ESTABLISHED, vengono nattate liberamente.
> ...

 

grazie K !!! mi hai dato una gran dritta!!!  :Smile: 

----------

## .:chrome:.

 *Tiro wrote:*   

> grazie K !!! mi hai dato una gran dritta!!! 

 

davvero  :Question: 

----------

## Tiro

beh si...lasciavo le porte aperte edonkey sul router per far funzionare amule convinto che fosse necessario.

Verificherò appena posso...

----------

