Temos um roteador MikroTik com 2 WANs main(largura de banda boa e cara) e backup. mainé para nosso uso diário e backuptem largura de banda lenta.
Temos um Synology NAS cuidando dos downloads. Gostaria de forçar os downloads de torrent através da backupinterface do gateway. Aqui está minha configuração atual:
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward to DSM" dst-address=192.168.1.3 dst-port=22,80,139,443,445,5001,32400 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward established, related replies to H2G2" connection-state=established,related dst-address=192.168.1.3 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow established and related replies from H2G2" connection-state=established,related protocol=tcp src-address=192.168.1.3
/ip firewall filter add action=drop chain=forward comment="H2G2: Drop everything else not coming from backup" dst-address=192.168.1.3 in-interface=!ether2-backup
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-main
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether2-backup
/ip firewall nat add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=22
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=80
/ip firewall nat add action=dst-nat chain=dstnat dst-port=139 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=139
/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=443
/ip firewall nat add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=445
/ip firewall nat add action=dst-nat chain=dstnat dst-port=5001 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=5001
/ip firewall nat add action=dst-nat chain=dstnat dst-port=32400 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=32400
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=tcp to-addresses=192.168.1.3 to-ports=6881
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=udp to-addresses=192.168.1.3 to-ports=6881
/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.1.0/24 new-routing-mark=toBackup passthrough=yes src-address=192.168.1.3
; Then route 0.0.0.0/0 toBackup routing mark to ether2-backup
Então, basicamente, eu permito o encaminhamento de pacotes para essas portas (22,80,139,443,445,5001,32400) para o NAS ( 192.168.1.3) e descarto todo o resto que não venha da backupinterface. Eu faço NAT nessas portas. E marco a conexão de 1.3 não para rede local, com o routing-mark toBackup. Obviamente, eu rotei 0.0.0.0/0marcado toBackuppara ether2-backupe funciona. Se eu acessar o NAS para uma das portas encaminhadas, tudo bem. Todo o resto passa pelo backup.
Agora, o problema é que TUDO vai para o backup. Não conheço exatamente os protocolos torrents, PEX, DHT, não tenho certeza de quando o servidor e seus arquivos são anunciados. Eu sei que os rastreadores de torrent e magnet possuem rastreadores incorporados que podem ser acessados até mesmo via HTTP, então depende de quando os arquivos são anunciados. Se eles forem anunciados quando o cliente se anunciar ao rastreador, posso manter tudo em backup. Se eles forem anunciados apenas quando contatados de fora (atualmente, minhas portas de escuta são 6881 UDP e TCP), então é melhor bloquear 6881 de ether1-main, mas novamente temo que o cliente se anuncie ao rastreador via HTTP (então via ether1-maine obviamente irá se anunciar no mesmo IP e não ether2-backup)...
Vocês têm uma ideia de como posso conseguir isso?