# iptables for a noob plz.

## cuchumino

hey ppl. I recently moved from FC2 to gentoo. I have had a hard time using bit torrent, and amule cuz i can't open some ports. I know this is the issue, cuz i haven't touched the iptables, and on Azureus i get a NAT error when i test the port i want to use on torrent. To avoid this error i would open only those necessary ports. 

But i don't know how to do this on gentoo. I have emerged firestarter, but that didn't work. What i really need is some docs or some tips on iptables.

Any howto's, documents, or any info on iptables, cuz i really have no frikin clue.

thax  :Smile: 

----------

## TheCoop

uuuh, well by default any network access is allowed out of a gentoo box. the problem is whatever is between the gentoo box and the internet, youve got to configure that to allow bittorrent traffic through, and that all depends on what youve got...

----------

## cuchumino

Well, i have a desktop computer with a cable modem access, if thats what you want to know. Azureus is the bit torrent client.

----------

## amiatrome

 *cuchumino wrote:*   

> i haven't touched the iptables

 

That means you have not configured nor started iptables yes? So it shouldn't be the problem. Just to be sure, what does iptables -L give you?

Are you behind a router? If yes,  you need to configure NAPT on that router. You need to give more information regarding your internet connection for us to help.

/edit Was wording this when your 2nd post went on. And here's the iptables guide.

----------

## cuchumino

 *amiatrome wrote:*   

> Are you behind a router?.

 

whats a router?   :Very Happy: 

I emerged a firewall front end, and opened these ports

6881 (for azureus, it only needs tcp)

4662, 4672 (amule, 62 is tcp, 72 is udp, i have no idea what this means. or if im doing this right)

heres iptables -L, it took a while but take a look. 

```
Chain INPUT (policy DROP)

target     prot opt source               destination

ACCEPT     tcp  --  tvcserver.intercable.net.co  anywhere            tcp flags:!SYN,RST,ACK/SYN

ACCEPT     udp  --  tvcserver.intercable.net.co  anywhere

ACCEPT     tcp  --  tvc1server.intercable.net.co  anywhere            tcp flags:!SYN,RST,ACK/SYN

ACCEPT     udp  --  tvc1server.intercable.net.co  anywhere

ACCEPT     tcp  --  anywhere             200.114.11.0/24     tcp dpt:6881

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpt:6881

ACCEPT     tcp  --  anywhere             200.114.11.0/24     tcp dpt:4662

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpt:4662

ACCEPT     tcp  --  anywhere             200.114.11.0/24     tcp dpt:4672

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpt:4672

ACCEPT     all  --  anywhere             anywhere

ACCEPT     icmp --  anywhere             200.114.11.0/24     limit: avg 10/sec burst 5

LD         all  --  anywhere             anywhere            state INVALID

LD         all  -f  anywhere             anywhere            limit: avg 10/min burst 5

ACCEPT     all  --  200.114.11.0/24      anywhere

LD         all  --  0.0.0.0/8            200.114.11.0/24

LD         all  --  1.0.0.0/8            200.114.11.0/24

LD         all  --  2.0.0.0/8            200.114.11.0/24

LD         all  --  5.0.0.0/8            200.114.11.0/24

LD         all  --  7.0.0.0/8            200.114.11.0/24

LD         all  --  10.0.0.0/8           200.114.11.0/24

LD         all  --  23.0.0.0/8           200.114.11.0/24

LD         all  --  27.0.0.0/8           200.114.11.0/24

LD         all  --  31.0.0.0/8           200.114.11.0/24

LD         all  --  36.0.0.0/8           200.114.11.0/24

LD         all  --  37.0.0.0/8           200.114.11.0/24

LD         all  --  39.0.0.0/8           200.114.11.0/24

LD         all  --  41.0.0.0/8           200.114.11.0/24

LD         all  --  42.0.0.0/8           200.114.11.0/24

LD         all  --  49.0.0.0/8           200.114.11.0/24

LD         all  --  50.0.0.0/8           200.114.11.0/24

LD         all  --  58.0.0.0/8           200.114.11.0/24

LD         all  --  59.0.0.0/8           200.114.11.0/24

LD         all  --  032-238-079.area1.spcsdns.net/8  200.114.11.0/24

LD         all  --  71.0.0.0/8           200.114.11.0/24

LD         all  --  72.0.0.0/8           200.114.11.0/24

LD         all  --  73.0.0.0/8           200.114.11.0/24

LD         all  --  74.0.0.0/8           200.114.11.0/24

LD         all  --  75.0.0.0/8           200.114.11.0/24

LD         all  --  76.0.0.0/8           200.114.11.0/24

LD         all  --  77.0.0.0/8           200.114.11.0/24

LD         all  --  78.0.0.0/8           200.114.11.0/24

LD         all  --  79.0.0.0/8           200.114.11.0/24

LD         all  --  83.0.0.0/8           200.114.11.0/24

LD         all  --  84.0.0.0/8           200.114.11.0/24

LD         all  --  85.0.0.0/8           200.114.11.0/24

LD         all  --  86.0.0.0/8           200.114.11.0/24

LD         all  --  87.0.0.0/8           200.114.11.0/24

LD         all  --  88.0.0.0/8           200.114.11.0/24

LD         all  --  89.0.0.0/8           200.114.11.0/24

LD         all  --  90.0.0.0/8           200.114.11.0/24

LD         all  --  91.0.0.0/8           200.114.11.0/24

LD         all  --  92.0.0.0/8           200.114.11.0/24

LD         all  --  93.0.0.0/8           200.114.11.0/24

LD         all  --  94.0.0.0/8           200.114.11.0/24

LD         all  --  95.0.0.0/8           200.114.11.0/24

LD         all  --  96.0.0.0/8           200.114.11.0/24

LD         all  --  97.0.0.0/8           200.114.11.0/24

LD         all  --  98.0.0.0/8           200.114.11.0/24

LD         all  --  99.0.0.0/8           200.114.11.0/24

LD         all  --  100.0.0.0/8          200.114.11.0/24

LD         all  --  101.0.0.0/8          200.114.11.0/24

LD         all  --  102.0.0.0/8          200.114.11.0/24

LD         all  --  103.0.0.0/8          200.114.11.0/24

LD         all  --  104.0.0.0/8          200.114.11.0/24

LD         all  --  105.0.0.0/8          200.114.11.0/24

LD         all  --  106.0.0.0/8          200.114.11.0/24

LD         all  --  107.0.0.0/8          200.114.11.0/24

LD         all  --  108.0.0.0/8          200.114.11.0/24

LD         all  --  109.0.0.0/8          200.114.11.0/24

LD         all  --  110.0.0.0/8          200.114.11.0/24

LD         all  --  111.0.0.0/8          200.114.11.0/24

LD         all  --  112.0.0.0/8          200.114.11.0/24

LD         all  --  113.0.0.0/8          200.114.11.0/24

LD         all  --  114.0.0.0/8          200.114.11.0/24

LD         all  --  115.0.0.0/8          200.114.11.0/24

LD         all  --  116.0.0.0/8          200.114.11.0/24

LD         all  --  117.0.0.0/8          200.114.11.0/24

LD         all  --  118.0.0.0/8          200.114.11.0/24

LD         all  --  119.0.0.0/8          200.114.11.0/24

LD         all  --  120.0.0.0/8          200.114.11.0/24

LD         all  --  121.0.0.0/8          200.114.11.0/24

LD         all  --  122.0.0.0/8          200.114.11.0/24

LD         all  --  123.0.0.0/8          200.114.11.0/24

LD         all  --  124.0.0.0/8          200.114.11.0/24

LD         all  --  125.0.0.0/8          200.114.11.0/24

LD         all  --  126.0.0.0/8          200.114.11.0/24

LD         all  --  loopback/8           200.114.11.0/24

LD         all  --  169.254.0.0/16       200.114.11.0/24

LD         all  --  172.16.0.0/12        200.114.11.0/24

LD         all  --  173.0.0.0/8          200.114.11.0/24

LD         all  --  174.0.0.0/8          200.114.11.0/24

LD         all  --  175.0.0.0/8          200.114.11.0/24

LD         all  --  176.0.0.0/8          200.114.11.0/24

LD         all  --  177.0.0.0/8          200.114.11.0/24

LD         all  --  178.0.0.0/8          200.114.11.0/24

LD         all  --  179.0.0.0/8          200.114.11.0/24

LD         all  --  180.0.0.0/8          200.114.11.0/24

LD         all  --  181.0.0.0/8          200.114.11.0/24

LD         all  --  182.0.0.0/8          200.114.11.0/24

LD         all  --  183.0.0.0/8          200.114.11.0/24

LD         all  --  184.0.0.0/8          200.114.11.0/24

LD         all  --  185.0.0.0/8          200.114.11.0/24

LD         all  --  186.0.0.0/8          200.114.11.0/24

LD         all  --  187.0.0.0/8          200.114.11.0/24

LD         all  --  189.0.0.0/8          200.114.11.0/24

LD         all  --  190.0.0.0/8          200.114.11.0/24

LD         all  --  192.0.2.0/24         200.114.11.0/24

LD         all  --  192.168.0.0/16       200.114.11.0/24

LD         all  --  197.0.0.0/8          200.114.11.0/24

LD         all  --  198.18.0.0/15        200.114.11.0/24

LD         all  --  223.0.0.0/8          200.114.11.0/24

LD         all  --  BASE-ADDRESS.MCAST.NET/3  200.114.11.0/24

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:31337 limit: avg 2/min burst 5

LD         udp  --  anywhere             200.114.11.0/24     udp dpt:31337 limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:33270 limit: avg 2/min burst 5

LD         udp  --  anywhere             200.114.11.0/24     udp dpt:33270 limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:1234 limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:6711 limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:16660 flags:SYN,RST,ACK/SYN limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:60001 flags:SYN,RST,ACK/SYN limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpts:12345:12346 limit: avg 2/min burst 5

LD         udp  --  anywhere             200.114.11.0/24     udp dpts:12345:12346 limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:epmap limit: avg 2/min burst 5

LD         udp  --  anywhere             200.114.11.0/24     udp dpt:epmap limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:ingreslock limit: avg 2/min burst 5

LD         tcp  --  anywhere             200.114.11.0/24     tcp dpt:27665 limit: avg 2/min burst 5

LD         udp  --  anywhere             200.114.11.0/24     udp dpt:27444 limit: avg 2/min burst 5

LD         udp  --  anywhere             200.114.11.0/24     udp dpt:31335 limit: avg 2/min burst 5

LD         all  --  base-address.mcast.net/8  anywhere

LD         all  --  anywhere             base-address.mcast.net/8

LD         all  --  255.255.255.255      anywhere

LD         all  --  anywhere             0.0.0.0

DROP       all  --  10.0.0.255           anywhere

DROP       all  --  0.0.0.0              anywhere

DROP       all  --  anywhere             255.255.255.255

DROP       all  --  anywhere             0.0.0.0

LD         all  --  anywhere             anywhere            state INVALID

LD         all  -f  anywhere             anywhere            limit: avg 10/min burst 5

ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:bootps:bootpc

ACCEPT     udp  --  anywhere             anywhere            udp dpts:bootps:bootpc

LD         tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW

STATE      tcp  --  anywhere             200.114.11.0/24     tcp dpts:1024:65535

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpts:1023:65535

LD         all  --  anywhere             anywhere

Chain FORWARD (policy DROP)

target     prot opt source               destination

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

ACCEPT     all  --  200.114.11.0/24      anywhere

ACCEPT     all  --  anywhere             200.114.11.0/24

Chain OUTPUT (policy DROP)

target     prot opt source               destination

ACCEPT     all  --  anywhere             anywhere

ACCEPT     all  --  200.114.11.0/24      anywhere

ACCEPT     icmp --  200.114.11.0/24      anywhere

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:31337 limit: avg 2/min burst 5

LD         udp  --  200.114.11.0/24      anywhere            udp dpt:31337 limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:33270 limit: avg 2/min burst 5

LD         udp  --  200.114.11.0/24      anywhere            udp dpt:33270 limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:1234 limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:6711 limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:16660 flags:SYN,RST,ACK/SYN limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:60001 flags:SYN,RST,ACK/SYN limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpts:12345:12346 limit: avg 2/min burst 5

LD         udp  --  200.114.11.0/24      anywhere            udp dpts:12345:12346 limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:epmap limit: avg 2/min burst 5

LD         udp  --  200.114.11.0/24      anywhere            udp dpt:epmap limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:ingreslock limit: avg 2/min burst 5

LD         tcp  --  200.114.11.0/24      anywhere            tcp dpt:27665 limit: avg 2/min burst 5

LD         udp  --  200.114.11.0/24      anywhere            udp dpt:27444 limit: avg 2/min burst 5

LD         udp  --  200.114.11.0/24      anywhere            udp dpt:31335 limit: avg 2/min burst 5

LD         all  --  base-address.mcast.net/8  anywhere

LD         all  --  anywhere             base-address.mcast.net/8

LD         all  --  255.255.255.255      anywhere

LD         all  --  anywhere             0.0.0.0

DROP       tcp  --  anywhere             anywhere            tcp flags:!SYN,RST,ACK/SYN state NEW

           all  --  anywhere             anywhere            TTL match TTL == 64

ACCEPT     icmp --  200.114.11.0/24      anywhere

ACCEPT     all  --  anywhere             anywhere

Chain LD (148 references)

target     prot opt source               destination

LOG        all  --  anywhere             anywhere            LOG level warning

DROP       all  --  anywhere             anywhere

Chain SANITY (0 references)

target     prot opt source               destination

LD         all  --  anywhere             anywhere

Chain STATE (1 references)

target     prot opt source               destination

LD         all  --  anywhere             anywhere            state NEW

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

LD         all  --  anywhere             anywhere

Chain UNCLEAN (0 references)

target     prot opt source               destination

LD         all  --  anywhere             anywhere

```

is there any number that i should block out on this post for security reasons?

----------

## cuchumino

what i find odd is the fact that i have opened  6881 port throught firestarter and i still get the NAT error problem with azureus.   :Sad: 

----------

## amiatrome

 *Quote:*   

> it took a while but take a look. 

 

Oops. I thought you didn't had any rules applied. Should have asked for iptables -L INPUT to save your time.

I looked at the rules. tvcserver.intercable.net.co should be your ISP and you do indeed have 6881, 4662,4672 opened. In fact, the last line looks as if everything is allowed.  :Confused: 

```
Chain INPUT (policy DROP)

target     prot opt source               destination

ACCEPT     tcp  --  tvcserver.intercable.net.co  anywhere            tcp flags:!SYN,RST,ACK/SYN

ACCEPT     udp  --  tvcserver.intercable.net.co  anywhere

ACCEPT     tcp  --  tvc1server.intercable.net.co  anywhere            tcp flags:!SYN,RST,ACK/SYN

ACCEPT     udp  --  tvc1server.intercable.net.co  anywhere

ACCEPT     tcp  --  anywhere             200.114.11.0/24     tcp dpt:6881

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpt:6881

ACCEPT     tcp  --  anywhere             200.114.11.0/24     tcp dpt:4662

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpt:4662

ACCEPT     tcp  --  anywhere             200.114.11.0/24     tcp dpt:4672

ACCEPT     udp  --  anywhere             200.114.11.0/24     udp dpt:4672

ACCEPT     all  --  anywhere             anywhere 
```

Are you sure you still aren't able to accept incoming connections for downloads? Run azureus and study the output of netstat -p. I haven't used azureus but I think the NAT error results from it not being able to autoconfigure portforwarding since you are not behind a router at all.

----------

## cuchumino

well what seems odd is the fact that im trying to download a file that has 111 seeds, and 500 peers online, and im only downloading at 1.5-5 Kbs.

I thought maybe the conection was slow. Then i ran a internel test on azureus. It tests the port that is supposed to be free for filetransfer, and it says that there is a NAT error....

what might be the problem?

----------

## sgtrock

BitTorrent by default tries to open connections on ports 6881-6889.  Try allowing all of them for incoming connections.  I've found that has resolved my speed issues with BT more often than not.

----------

## slam_head

You might try logging on to your cable/dsl modem and configuring it to forward ports 6881-6889 to what ever machine your using to do you bittorent.

----------

## outspoken

cuchumino, what was the outcome of this? just curious on the matter if you were able to get your speeds up after opening/forwarding the port range that slam_head suggested.

----------

