Loading...
Error

Настройка Портов и Файрволла

Ответить на тему

 | 

 
Автор Сообщение

admin

Настройка Портов и Файрволла

Общая информация
1. Только при правильно настроенных портах можно достичь оптимальную (очень быструю) скорость скачки/закачки. Во-первых, не рекомендуется выбирать порты общеизвестных пиринговых программ типа emule, Kazaa, Direct Connect, Gnutella и, конечно, стандартные порты BitTorrent тоже не рекомендуются:



Провайдер может как следить, так и урезать трафик на этих портах. Рекомендуется выбирать порты > 40000.
Очень важно! Если вы имеете firewall (файрволл, брандмауэр) программу на своём PC, то нужно открыть выбранный вами порт для битторрента как на выход, так и на вход. Если вы не разбираетесь, как работает firewall, то лучше его и не ставить вовсе, так как он вас все равно в этом случае не спасёт от всех “бед” из Интернета.
Если вы находитесь за “глухой” стенкой (работа, университет и т.п.), тогда можно попробовать стандартные порты 21, 80, 443, 8080. Стоит , правда, знать следующее: связь с другими клиентами исходит от вас, если кто будет пытатся снаружи установить с вами связь, то он просто будет сброшен файрволлом фирмы/организации. При большой активности это может привлечь (”нездоровое” ?!) внимание админов вашей сети.
Кроме того файрвол может быть установлен на вашем роутере (если таковой имеется). В этом случае придется проверить роутер и настроить там по выше указаной схеме файрвол, если доступа к роутеру нет и индикатор у вас красный тогда вы не можете пользоватся битторентом
2. Если вы выходите в интернет через роутер, имеете ip адресс типа 192.168.х.х и имеете желтый индикатор связи.
Желтый индикатор означает, что с вашим битторент клиентом не может быть установлено удаленое соеденение (remote connection) или другими словами скачивать вы можете, но не можете в полной мере отдавать другим, так как другие клиенты не могут к вам сами подсоединиться, что вообще-то плохо: вспоминаем золотое правило “сколько взял столько и отдал”.
Если в вашей сети только вы пользуетесь биторрентом, то вы можете правильно настроить таблицу NAT (Network Adress Translation) на вашем роутере (если конечно есть доступ). В моем случае это был роутер от фирмы draytek, который я смог отконфигурировать через Internet Explorer (смотри картинку и документацию по роутеру). Если в качестве роутера используется другой компютер, то вам понадобится программа типа wingate.
Настройка файрволла в Windows XP
Найти его просто: Пуск > Панель управления > Брандмауер Windows



Если файрволл отключен ( замаркирован красный щит), то проблема не в нем. Ищем другое решение... Если включен (замаркирован зелёный щит)



Нажимаем - Исключения. Получаем список программ включённых в "исключения"



Примечание: в более старых версиях Windows настройки могут выглядеть по-другому.
Для Windows XP SP2: Если ваш клиент в списке, все ок. Проблема не в файрволле. Если нет, то добавьте его туда: Добавить порт .
Для более старых версий Windows: Нужно открыть два порта - один UDP, другой TCP. Нажимаем кнопку добавить порт (Add port - 2):



Указываем имя записи, номер порта клиента (больше 40000, но меньше 65535), выбираем TCP. Добавляем еще один раз, но уже для UDP.
Внимание! Не забудьте установить тот же порт в своем клиенте! И не вздумайте поставить выбор случайного порта при загрузке!

Примеры настройки персональных файрволлов.

ZoneAlarm Plus

Открываем окно файрволла → левая вкладка “Управление программами” → сверху-справа выбираем вкладку “Программы”



Нажимаем кнопку “Добавить” в нижней части экрана и выбираем исполняемый файл клиента (BitLord.exe, например). Далее устанавливаем разрешения, как показано на картинке.
Описание проблемы
Для того, чтобы два P2P клиента начали обмениваться данными, один из них должен начать соединение (послать другому самый первый пакет), а другой это соединение принять (этот пакет получить).



У многих пользователей стоят файерволы и роутеры. Они нормально пропускают первый пакет, идущий “изнутри” (исходящее соединение) и автоматически создают временный “туннель”, пропускающий затем обратно ответные пакеты.



Однако если первый пакет приходит снаружи (входящее соединение), то по умолчанию (без дополнительной настройки) файерволы и раутеры не передают этот пакет P2P клиенту, и соединение не устанавливается.



В таком случае говорят, что у P2P клиента недоступен (закрыт) порт для входящих соединений.

На рисунке справа изображены участники P2P сети. У A и B порты снаружи доступны, поэтому A может начать соединение с B, или B начать соединение с A, это все равно.
У C и D порты для входящих соединений недоступны, поэтому они могут только начинать соединения с A и B. Друг с другом они соединиться не могут.
Участники с недоступными портами не могут друг с другом общаться. Если таких участников относительно много, то эффективность P2P сети существенно снижается.
Проверка доступности
1) Самый быстрый способ - онлайновый сканер портов. Сначала смотрим, какой порт указан в настройках клиента.



Рис. слева - µTorrent, справа - BitComet.
Заходим на страничку whatsmyip.org (или Сюда или Сюда), вводим номер порта и нажимаем “Check Port”. Сканер посылает нам пробный пакет. Если клиент сумеет его принять, то он пошлет сканеру ответный пакет и тогда сканер покажет “Open”. Если порт недоступен или клиент просто не запущен - сканер покажет “TimeOut” (”Stealth”) или “Closed”.

2) Второй способ простой - посмотреть на сайте трекера. Запустите в клиенте задачу, клиент соединится с трекером и, в частности, сообщит ему номер своего порта. Большинство трекеров в этот момент проверяют доступность порта клиента (тем же способом, что и сканер портов), и показывают результат на странице раздачи в таблице качающих, обычно сразу справа от ника пользователя. Красный цвет или Нет - порт закрыт, Зелёный цвет или Да - открыт.



Однако полностью на этот результат полагаться нельзя. Например, если в момент проверки ваш канал сильно загружен (другими раздачами), то трекер может просто не дождаться от клиента ответа и покажет, что порт закрыт.

Открытие порта

Файервол и роутер - самые распространенные причины недоступных портов, но не единственные. Некоторые часто используемые P2P порты может закрывать провайдер или запрещать трекер. Поэтому первым шагом будет ...

1. Выбрать и настроить в клиенте порт для входящих соединений.
Рекомендуется выбрать какой-нибудь порт из диапазона 40000 - 65000.
Отметим, что “классические” клиенты (BitTorrent, Shadow, BitTornado) используют отдельный входящий порт для каждой задачи, поэтому в них приходится указывать и потом делать доступными не один порт, а диапазон портов. Например, диапазона 41030-41040 будет достаточно для участия в 10 раздачах одновременно.

2. Настроить файервол (если есть)
Настройка встроенного в Windows XP SP2 файервола описана на сайте ixbt. Кроме того, в этом файерволе некоторые торрент клиенты (включая последнюю бету µTorrent) сами умеют открывать себе порт.
Если вы поставили себе другой файервол - читайте по нему документацию.

3. Настроить роутер (если есть)
Есть два основных способа это сделать - uPnP (если поддерживает ваш раутер и у вас Windows XP) и перенаправление портов вручную.

4. Проверить открытость порта онлайновым сканером
Конечно, при работающем торрент клиенте.
Перед проверкой нужно настроить и файервол, и роутер. Если вы правильно настроили роутер, но неправильно файервол, то конечно сканер все равно покажет, что порт недоступен. Если вы точно знаете, что находитесь за роутером, и при этом не опасаетесь атак с соседних локальных компьютеров, то файервол можно временно отключить и пробовать без него.
Если не получилось, то можно попробовать то же самое с другим номером порта.
Если все равно не получается - тогда спрашивайте на форуме трекера, указав все проделанные шаги, торрент клиента, операционную систему, модель роутера и файервол. Хорошо бы также присовокупить скриншоты своих настроек клиента, локальной сети, файервола и роутера.

Если роутер не ваш

Бывает так, что вы за роутером, но доступа к его настройкам нет. Например в локальной сети в многоквартирном доме, или в локальной сети на работе. Или даже в локальной сети интернет провайдера (тогда говорят, что провайдер “не дает вам внешний IP адрес”).
В таком случае можно попробовать uPnP в слабой надежде, что в этом роутере есть и разрешена поддержка uPnP. Если нет - то уже ничего не сделаешь, у вас недоступный порт. Приготовьтесь обьяснить свою ситуацию, когда вас на трекере будут за это критиковать.
Если у вас недоступный порт и в клиенте есть поддержка NAT Traversal (BitComet и BitSpirit), то проверьте, что она включена. Это может дать вам возможность подсоединиться к пользователям с поддержкой NAT Traversal и тем же клиентом что у вас.
Находим роутер и свой локальный IP адрес

Модем и роутер
У многих сейчас дома есть высокоскоростное подключение интернету, чаще всего через ТВ кабель или DSL. Oбычно это подключение через внешний высокоскоростной модем - небольшую коробочку, подключаемую к телефонной линии/ТВ кабелю, и сo стандартным сетевым разъемом RJ-45.
Через RJ-45 модем может быть подключен или прямо к компьютеру, или к роутеру - устройству, дающему доступ к интернету сразу нескольким компьютерам.



Некоторые интернет провайдеры дают пользователям модемы “с роутером внутри”. Такое устройство является и модемом и роутером одновременно (хотя при желании функциональность роутера в настройках можно отключить и сделать из него обычный модем). Некоторые производители называют такие устройства DSL/кабельными раутерами.
По следующим признакам можно понять, что ваш модем также является и роутером:
• несколько сетевых RJ-45 разъемов
• есть антенна
• в названии есть слова Wireless (беспроводной), Ethernet или Gateway (шлюз)
• в описании упомянуты слова NAT или файервол
Локальная сеть
Три специальных диапазона IP адресов зарезервированы для локальных сетей и в интернете не используются:

10. 0. 0. 0 - 10. 255.255.255
172. 16. 0. 0 - 172. 31.255.255
192.168. 0. 0 - 192.168.255.255


У роутера есть два IP адреса - внешний (выделенный вам провайдером), доступный только из интернет, и внутренний (локальный), доступный только из локальной сети. Раутер служит шлюзом между интернетом и локальной сетью.
Компьютеры, подключенные к роутеру, имеют только внутренние IP адреса, и вместе с роутером образуют локальную сеть. Они получают доступ к интернету посредством процесса, называемого NAT



Откроем консольное Dos окно. Например так: клик на кнопке Пуск, в меню выбираем Выполнить, в выскочившем окошке набираем command , нажимаем OK .
В Dos окне печатаем команду ipconfig , нажимаем Enter и смотрим на результат:

C:\>ipconfig

Windows 2000 IP Configuration

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1

C:\>exit

Первый из этих адресов - это IP адрес нашего компьютера. Если он находится в одном из вышеупомянутых локальных диапазонов, то есть начинается с 10. или с 192.168. или с 172.nn. (где nn - от 16 до 31), то это локальный адрес. В таком случае говорят, что мы находимся в локальной сети за NAT.
Третий адрес - это IP адрес шлюза, через который мы имеем доступ к интернет. Если мы за NAT, то это адрес NAT-устройства, которым обычно и является наш собственный раутер.
Заходим в настройки роутера


Практически все домашние роутеры имеют веб интерфейс. Для доступа к настройкам роутера мы набираем его IP адрес в адресной строке браузера. Откроется страничка, на которой роутер сперва спросит логин и пароль.
Если роутер новый, то начальный пароль указан в руководстве к роутеру. Часто это пустые имя/пароль или комбинация со словом “admin”. Также смотрите список тут.

Если пароль утерян, то приходится сбрасывать настройки роутера в заводские. Процедура должна быть описана в руководстве, часто это нажатие иглой в специальное отверстие на корпусе. В некоторых моделях можно отдельно сбросить только пароль, в других только все настройки сразу (в этом случае сперва узнайте все необходимые параметры, а то можете остаться вообще без интернета и локальной сети).
Используем UPnP для автоматического перенаправления портов в роутере
UPnP - это расширение стандартов Plug-and-Play для упрощения управления устройствами в сети. В частности, программа на компьютере может обратиться к роутеру “на языке” UPnP и потребовать “открыть” себе нужные порты.
Для того, чтобы это работало, надо чтобы UPnP поддерживали роутер, ОС и торрент-клиент.



Чем новее роутер, тем в среднем больше вероятность, что он поддерживает UPnP. Читайте руководство. Иногда производитель может добавить (или исправить) поддержку UPnP только в новых версиях прошивки (firmware). Проверьте, что UPnP разрешено в в настройках роутера.



Windows XP поддерживает UPnP, и эта поддержка по умолчанию включена. На всякий случай можно проверить, что нужные компоненты на месте: ‘Control Panel’ → ‘Add/Remove Programs’ → ‘Add/Remove Windows Components’ → ‘Networking Services’.



Практически все популярные торрент клиенты (Azureus, BitComet, BitSpirit, BitTornado, µTorrent) поддерживают UPnP, надо просто включить его в настройках клиента.
Справа показано включение uPnP в µTorrent.
Перенаправляем порты в роутере вручную
(Flash-урок)

1.Заходим в настройки роутера и находим секцию перенаправления портов

Возможные названия этой секции:
• Перенаправление Портов / Port Forwarding
• Виртуальные серверы / Virtual Servers
• Настройка серверов / [SUA] Server Setup
• Приложения / Applications

2. Создаем новое правило перенаправления

В этой секции роутер показывает уже созданные правила и позволяет создать новые.
Некоторые роутеры для создания правила предлагают выбрать одну из известных программ, и тогда сами указывают нужные порты. Нам такого не надо, в таком роутере мы выбираем вариант “создать правило вручную”.

3. Вводим нужную информацию

При создании нового правила указываем следующее:
Название - произвольное название для нового правила. Давайте любое удобное вам название, например bittorrent.
IP адрес - локальный IP адрес нашего компьютера. Называться это поле может по-разному (локальный адрес, внутренний адрес, адрес сервера), но в любом случае в названии будет слово IP.
Протокол - если есть выбор протокола, указываем TCP.
Порты - указываем какой порт/порты перенаправлять. В этом месте разные роутеры могут сильно отличаться, поэтому рассмотрим вопрос подробнее.



В самом простом случае при создании правила можно указать только один порт, который и будет перенаправлен на локальный компьютер.



Многие роутеры позволяют перенаправлять сразу диапазон портов, и вам нужно указать первый (Start) и последний (End) порт диапазона. На рис. слева порт роутера 501 будет перенаправлен на порт компьютера 501, 502 на 502, и т.д., всего 8 портов.



Некоторые роутеры позволяют при перенаправлении “сдвигать” номер порта, и предлагают ввести внешний (Public) номер порта и внутренний (Private). На рис. слева порт раутера 501 будет перенаправлен на порт компьютера 701. Для торрент клиента нам такого категорически не надо.
Потенциальный подводный камень заключается в том, что в обоих последних случаях нам предлагают ввести два порта. Не разобравшись, можно эти варианты перепутать, и вместо перенаправления диапазона от 501 до 508 раутер будет перенаправлять внешний порт 501 на внутренний 508. Если не уверены - делайте правило на один порт, и вводите его в обоих полях.

4. Завершаем создание правила

Нажимаем кнопку Применить (Apply). Затем можно проверить, как правило выглядит в списке уже созданных правил. В некоторых раутерах рядом с каждым правилом есть галочка “разрешить” (Enable или Active) - проверьте, что правило разрешено.
Статический адрес
Если все получилось и порт стал доступным для входящих соединений, то теперь надо позаботиться о том, чтобы он таким и оставался. Дело в том, что в настройках роутера мы указали локальный IP адрес нашего компьютера, а в зависимости от сетевых настроек компьютера этот адрес может измениться при следующем включении компьютера.
Проверить и сделать себе статический локальный адрес можно в настройках сетевого соединения в свойствах TCP/IP. Если адрес роутера “192.168.1.1”, то компьютеру можно дать адрес любой незанятый адрес “192.168.1.хх” (например “192.168.1.5”). При этом в полях “Gateway” и “DNS Server” обычно прописывается адрес роутера.
Примеры
Рассмотрим несколько примеров создания правила в разных роутерах. Будем считать, что наш локальный адрес 192.168.0.10 и нам надо перенаправить порт 501 или (когда можно) диапазон 501-508.



Диапазон портов.



Один порт. Роутер может сдвигать номер порта.
Кроме того, роутер может разрешать правило по расписанию - только в определенные часы и дни недели.



Диапазон портов.
В этом роутере мы не переходим на отдельную страницу для создания правила, а редактируем нужные поля прямо в списке правил



Самый сложный случай. Роутер может перенаправлять диапазон портов и при этом сдвигать их номера. Если же не поставить галочку “Enable Port Range”, то раутер будет перенаправлять порты 501-508 в один порт 501.
Кроме того, роутер может ограничивать прием входяших соединений с диапазона IP адресов. (”Remote IPs”).
Полезная ссылка: Setting up Your Router (правда на английском) - Как сделать Port Forwarding для множества конкретных routers и программ. Те, кто не знает английского, могут хотя бы посмотреть на картинки, чтобы понять где находятся нужные настройки.
Немножко теории - что такое порт, как работает NAT

Порт, клиент и сервер
Представим, что на компьютер по сети приходит пакет данных.



ОС (операционная система) принимает пакет и отдает его одной из работающих на компьютере программ
Сетевой порт - условное число от 1 до 65535, указывающее, кому именно на компьютере предназначается пакет.
После обмена несколькими пакетами говорят, что программы установили между собой соединение.



Сервером называют программу, которая ждет самый первый пакет (ждет входящих соединений) от других программ.
Сервер при запуске сообщает ОС, что хотел бы “занять” один или несколько портов. Теперь все пакеты, приходящие на компьютер к этим портам, ОС будет передавать именно этому серверу. Еще говорят, что сервер “слушает” эти порты.



Kлиентом называют программу, посылающую самый первый пакет (инициирующую соединение).
Клиент, перед тем как отправить свой первый пакет, выпрашивает у своей ОС какой-нибудь незанятый порт во временное пользование, и указывает его в посланных пакетах как часть обратного адреса. Сервер, получив пакет, будет знать, на какой порт отправлять ответные пакеты.



Сокетом называется сочетание IP адреса и порта. Пакеты TCP и UDP протоколов всегда пересылаются от сокета к сокету.
Таким образом, IP адрес указывает к какому компьютеру должен попасть пакет, и используется при пересылке пакета между компьютерами и узлами сети. Номер порта используется ОС, и указывает, к какой программе внутри компьютера должен попасть пакет.

Подытожим разницу между клиентом и сервером. Сервер:

• слушает на определенном известном клиенту порту
• занимает этот порт все время (пока не завершит работу)
• об IP адресе/порте клиента узнает из первого пакета, посланного клиентом
Клиент:
• заранее знает IP адрес и порт сервера
• выбирает у себя произвольный порт, к-й освобождает после окончания соединения
• посылает самый первый пакет
После того, как клиент и сервер установили соединение, с точки зрения сети никакой разницы между ними больше нет.
Стандартные порты
Для большинства программ-серверов определены стандартные порты. Это значит, что по умолчанию ожидается, что сервер на компьютере будет слушать именно этот порт. Самыe известные стандартные порты: 80 для http (веб), 21 для ftp и 25 для smtp (пересылки почты).
И большинство веб серверов в сети действительно слушают порт 80. Поэтому в браузере мы набираем адреса веб серверов и почти никогда не указываем порт - наши браузеры сами добавляют стандартный номер порта. Например, адрес
http://yahoo.com/
на самом деле полностью выглядит так:
http://yahoo.com:80/
Стандартный порт просто не указывается.
Разумеется, стандартный - не значит обязательный. Владелец компьютера может по желанию указать в настройках своему веб серверу слушать любой порт. А если, например, 80й порт уже занят работающим веб сервером, а владелец хочет запустить еще один, то он просто вынужден указать любой другой свободный порт. Часто выбирают порт 8080 - стандартный “альтернативный” веб порт. В таком случае владелец, публикуя адрес своего веб сервера, указывает адрес вместе с портом, например:
http://vasyapupkin.com:8080/
Недоступный порт и P2P
Если первые пакеты от клиентов не приходят на слушаемый сервером порт, то сервер на таком порту запускать бесмысленно, никто к нему не достучится. В этом случае говорят, что порт закрыт для входящих соединений, или порт недоступен снаружи.
Обычно пользователю интернета “доступные” порты на своем компьютере не нужны, потому что большая часть пользовательских интернет программ (браузер, почтовый клиент, messenger) являются клиентами. О “доступных” у себя портах пусть беспокоятся организации (и немногие пользователи), устанавливающие у себя web/ftp/почтовые и другие сервера.
В отличие от классической клиент-серверной архитектуры, в P2P основной обмен происходит между равноправными компьютерами пользователей (peers). P2P программа является и клиентом и сервером, так как она должна уметь и инициировать, и принимать соединения. Именно поэтому P2P пользователь вынужден проделать шаги как при установке сервера - убедиться, что выбранный P2P клиентом для прослушивания порт доступен снаружи.
Как работает NAT
Принимая пакет от локального компьютера, роутер смотрит на IP адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер “на лету” производит трансляцию IP адреса и порта и запоминает эту трансляцию у себя во временной таблице.
Рассмотрим это на примере. Пусть внешний адрес раутера 15.15.15.15. Компьютер с локальным адресом 10.0.0.5 передал раутеру пакет



Раутер выбрал у себя временный порт 600 и переслал в интернет пакет



Чуть позже, получив от сервера ответные пакеты на свой порт 600, раутер сверяется со своими записями, производит обратную трансляцию, и пересылает пакеты на локальный компьютер



Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о 600м порту за сроком давности.
Отметим, что с точки зрения сервера пакеты приходят просто с адреса 15.15.15.15:600, и ни о каком роутере или локальной сети позади него сервер не знает. С точки зрения компьютера тоже вроде бы никакого роутера и трансляции адресов по дороге не было.
Таким образом, для исходящих из локальной сети соединений NAT работает “прозрачно”, никак не мешая установлению соединений.
С другой стороны, очевидно, что без дополнительной настройки роутер будет отвергать все входящие соединения (то есть делает все порты недоступными для входящих соединений у всех компьютеров в локальной сети). Получая новый пакет извне, роутер просто не знает, какому локальному компьютеру он предназначался.

По материалам Team RDA
Прописывание портов в Callisto-821+
Заходите на модем набрав в адресной строке 192.168.1.1 вводя логин и пароль (qe1dg7bm qa6yo9km). Модем должен находиться в режиме роутера. Выбираем вкладку "Advanced Configuration", потом "Security", потом "Advanced NAT Configuration", далее "Add Reserved Mapping".
В табличке заполняем так:

Global - без изменения (0.0.0.0)

Internal Type Start End Start End
192.168.1.3 tcp 4662 4662 4662 4662

Нажимаете "Add Reserved Mapping" -!!!!!!

Еще раз
"Security", потом "Advanced NAT Configuration", далее "Add Reserved Mapping".
В табличке заполняем так:

Global - без изменения (0.0.0.0)
Internal Type Start End Start End
192.168.1.3 udp 4672 4672 4672 4672

Нажимаете "Add Reserved Mapping" -!!!!!!!
далее "Save config" -> "Save".

Вместо 192.168.1.3 пишем именно тот адрес, который у вас присвоен сетевой карте,куда включён модем-адрес машины, на которую перебрасывается порт.

И обязательно в настройках осла в закладке СОЕДИНЕНИЕ прописываете порты TCP - 4662, UDP - 4672.

Для Торрента достаточно прописать только tcp ,провайдеры рекомендуют ставить порт начиная с 20000(40 000) до 65000, аргументируя тем, что чаще всего, именно эти порты не закрываются провайдером.Возможно также будет полезно открыть диапазон ,портов на 10.Напрмер с 56 500 до 56 510.

Недоступный порт - Port Forwarding (Flash урок)
Показать сообщения:    
Ответить на тему