У нас есть маршрутизатор MikroTik с 2 WAN main(хорошая, но дорогая пропускная способность) и backup. mainОн предназначен для повседневного использования и backupимеет медленную пропускную способность.
У нас есть Synology NAS, который обрабатывает загрузки, я хотел бы принудительно загружать торренты через интерфейс backupна шлюзе. Вот моя текущая конфигурация:
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward to DSM" dst-address=192.168.1.3 dst-port=22,80,139,443,445,5001,32400 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward established, related replies to H2G2" connection-state=established,related dst-address=192.168.1.3 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow established and related replies from H2G2" connection-state=established,related protocol=tcp src-address=192.168.1.3
/ip firewall filter add action=drop chain=forward comment="H2G2: Drop everything else not coming from backup" dst-address=192.168.1.3 in-interface=!ether2-backup
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-main
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether2-backup
/ip firewall nat add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=22
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=80
/ip firewall nat add action=dst-nat chain=dstnat dst-port=139 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=139
/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=443
/ip firewall nat add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=445
/ip firewall nat add action=dst-nat chain=dstnat dst-port=5001 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=5001
/ip firewall nat add action=dst-nat chain=dstnat dst-port=32400 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=32400
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=tcp to-addresses=192.168.1.3 to-ports=6881
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=udp to-addresses=192.168.1.3 to-ports=6881
/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.1.0/24 new-routing-mark=toBackup passthrough=yes src-address=192.168.1.3
; Then route 0.0.0.0/0 toBackup routing mark to ether2-backup
Итак, по сути, я разрешаю пересылку пакетов для этих портов (22,80,139,443,445,5001,32400) на NAS ( 192.168.1.3) и отбрасываю все остальное, что не поступает с backupинтерфейса. Я NAT для этих портов. И я помечаю соединение с 1.3 не для локальной сети, с routing-mark toBackup. Очевидно, я маршрутизирую 0.0.0.0/0помеченный toBackupна ether2-backup, и это работает. Если я обращаюсь к NAS по одному из перенаправленных портов, то все в порядке. Все остальное проходит через резервную копию.
Теперь проблема в том, что ВСЕ отправляется на резервное копирование. Я не знаю точно протоколы торрентов, PEX, DHT, я не уверен, когда сервер и его файлы объявляются. Я знаю, что трекеры торрентов и магнитов имеют встроенные трекеры, к которым можно получить доступ даже по HTTP, поэтому все зависит от того, когда файлы объявляются. Если они объявляются, когда клиент объявляет себя трекеру, то я, возможно, сохраню все для резервного копирования. Если они объявляются только при обращении извне (в настоящее время мои прослушивающие порты - 6881 UDP и TCP), то лучше заблокировать 6881 из ether1-main, но опять же я боюсь, что клиент объявит себя трекеру через HTTP (то есть через ether1-mainи , очевидно, будет объявлять себя на том же IP, а не ether2-backup)...
Есть ли у вас идеи, как этого добиться?