Маршрутизация от демилитаризованной зоны до внутренней сети только
Мне подключили домашнюю сеть к услугам Verizon FIOS. Маршрутизатор ActionTec Verizon подключен к ONT через коаксильный кабель для создания сети MOCA. Мой порт WAN маршрутизатора DD-WRT подключен к одному из портов ActionTec's LAN. Маршрутизатор DD-WRT настроен со статическим IP-адресом и присвоен демилитаризованной зоне (это сделано так, я только должен настроить перенаправление портов однажды).
Моя проблема - то, что это не позволяет компьютерам, подключенным к DD-WRT служить потоковому аудио / видео менеджеру Медиа Verizon использования сети MOCA. Я знаю, что менеджер Медиа использует порты 18000, 18001, 5050, и 5060, но я не знаю, как передать те порты так, чтобы они были только доступны сети ActionTec (т.е. кабельные абонентские установки) и не остальная часть Интернета.
Для простоты обсуждения IP-адреса, текущие используемый внутренне:
192.168.1.1 - ActionTec Router
192.168.1.2 - DD-WRT Router's WAN port (assigned to DMZ)
192.168.1.100-.103 - Set-Top Boxes (STBs)
192.168.0.1 - DD-WRT's LAN address
192.168.0.151 - Computer running Media Manager
2 ответа
Веб-интерфейс DD-WRT не поддерживает ограничение исходного IP-адреса данных, которые будут переданы. Однако эта функциональность поддерживается ОС, таким образом, она может быть настроена в командной строке (получил доступ через SSH), использование команды "iptables". Я буду разбивать команду в несколько строк для удобочитаемости, но они должны все пойти на ту же строку, если Вы на самом деле пытаетесь использовать их.
Запустите путем создания правил в цепочке "PREROUTING" "туземной" таблицы для каждой комбинации STB/port. Вставьте эти правила после существующих правил перенаправления портов и перед заключительным "ТРИГГЕРНЫМ" правилом, как это:
iptables
-t nat
-I PREROUTING 8
--source 192.168.1.100
--dst 192.168.1.2 -p tcp
--dport 18000
-j DNAT
--to-destination 192.168.0.151:18000
Сделайте это это для каждой комбинации адреса и порта, из которого Вы хотите получить данные. Место назначения и к месту назначения является тем же для каждой команды. Можно оставить правило номер (8) тем же для каждой команды, таким образом, каждая новая запись продвигает предыдущие записи одно значение.
Затем добавьте каждый адрес/комбинацию портов к "ВПЕРЕД" цепочка таблицы "фильтра". Как прежде, добавьте эти правила после существующих переданных портов и перед первым "ТРИГГЕРОМ", как так:
iptables
-I FORWARD 13
-t filter
-p udp
-s 192.168.1.100
-d 192.168.0.151
--dport 18000
-j ACCEPT
И, как в первой команде, делая это для каждой комбинации IP-адреса и порта.
Эти правила должны позволить входящим сообщениям быть полученными на указанных портах, только если они происходят из указанных адресов.
Вышеупомянутые ответы ядро вопроса я на самом деле спросил. У меня на самом деле нет его еще работающий в этом конкретном случае, но я полагаю поэтому, что Verizon реализовала своего рода регистрацию их программного обеспечения для исключения переданных пакетов как способа препятствовать тому, чтобы абонентские установки передали данные потоковой передачи непосредственно из Интернета.
Ваш маршрутизатор FiOS Actiontec соединяется с ONT с помощью сигнала WAN MoCA и подключений к STBs использование сигналов LAN MoCA. Коаксиальный порт на маршрутизаторе может отправить и получить и WAN и сигналы LAN MoCA, но только сигналы LAN MoCA важны для менеджера Медиа. (В некоторых случаях у телевизионных клиентов FiOS может быть соединение Ethernet WAN между маршрутизатором FiOS и ONT, в этом случае никакой сигнал WAN MoCA не будет присутствовать на коаксильном кабеле, соединяющем проводом дома. Но сигналы LAN MoCA будут все еще сгенерированы маршрутизатором и STBs для передачи.)
При установке демилитаризованной зоны маршрутизатора Actiontec на статический IP-адрес, Вы присвоили порту WAN своего маршрутизатора DD-WRT, все, что сделает, отправляют входящий интернет-трафик непосредственно на Ваш маршрутизатор DD-WRT.
Подключение STBs по LAN MoCA сигнализирует к локальной сети Вашего Actiontec. Вам не нужна демилитаризованная зона в маршрутизаторе Actiontec для менеджера Медиа. Вы только хотели бы демилитаризованную зону в Actiontec, если Вы запускаете другие программы на своих ПК или DD-WRT, который должен получить входящий трафик от Интернета.
Я не знаю точно, как менеджер Медиа работает, но я подозреваю, когда Вы входите в меню Media Manager STB, оно отправляет своего рода широковещательное сообщение для нахождения всех ПК на LAN, которые запускают программное обеспечение Media Manager.
Можно попытаться выключить демилитаризованную зону в Actiontec и установить правила перенаправления портов (или демилитаризованная зона) в DD-WRT для отправки входящих соединений на корректных портах Media Manager к одному ПК на DD-WRT LAN.
Если это работает вообще, то только один ПК может совместно использовать медиа с STBs. Однако я не уверен, будет ли коммуникация, используемая в менеджере Медиа, работать через сетевое преобразование от порта WAN DD-WRT до портов LAN.
Менеджер медиа разработан, чтобы использоваться между STBs и ПК, подключенными к локальной сети на Actiontec.