Маршрутизация из DMZ только во внутреннюю сеть

У меня есть домашняя сеть, подключенная к сервису FIOS Verizon. Маршрутизатор actiontec компании Verizon подключен к ONT через коаксиальный кабель для создания сети MOCA. Порт WAN моего маршрутизатора DD-WRT подключен к одному из портов LAN ActionTec. Маршрутизатор DD-WRT настроен со статическим IP-адресом и назначен DMZ (это сделано так, я только должен настроить переадресацию портов однажды).

моя проблема в том, что это не позволяет компьютерам, подключенным к DD-WRT, обслуживать потоковую передачу аудио / видео к сети MOCA используя менеджера средств Verizon. Я знаю, что Media Manager использует ports 18000, 18001, 5050 и 5060, но я не знаю, как перенаправить эти порты так, чтобы они были доступны только для сети ActionTec (т. е. кабельных приставок), а не для остальной части интернета.

для удобства обсуждения текущие IP-адреса, используемые внутри:

192.168.1.1        - ActionTec Router
192.168.1.2        - DD-WRT Router's WAN port (assigned to DMZ)
192.168.1.100-.103 - Set-Top Boxes (STBs)
192.168.0.1        - DD-WRT's LAN address
192.168.0.151      - Computer running Media Manager
9
задан Allan
16.04.2023 10:44 Количество просмотров материала 3101
Распечатать страницу

2 ответа

веб-интерфейс DD-WRT не поддерживает ограничение IP-адреса источника пересылаемых данных. Однако эта функциональность поддерживается ОС, поэтому ее можно настроить в командной строке (доступ через SSH) с помощью команды" iptables". Я буду разбивать команду на несколько строк для удобства чтения, но все они должны идти в одной строке, если вы на самом деле пытаетесь их использовать.

Начнем с создания правил в цепочке "следующее" "нац" стол для каждая комбинация STB / port. Вставьте эти правила после существующих правил переадресации портов и перед окончательным правилом "триггера", как это:

iptables 
   -t nat 
   -I PREROUTING 8 
  --source 192.168.1.100 
  --dst 192.168.1.2 -p tcp
  --dport 18000 
   -j DNAT 
  --to-destination 192.168.0.151:18000

сделайте это для каждой комбинации адреса и порта, от которых вы хотите получать данные. Назначение и конечное назначение одинаковы для каждой команды. Вы можете оставить номер правила (8) одинаковым для каждой команды, чтобы каждая новая запись подталкивала предыдущие записи к одному значению.

после этого добавляет каждую комбинацию адреса / порта в цепочку "вперед" таблицы "фильтр". Как и прежде, добавьте эти правила после существующих перенаправленных портов и перед первым "триггером", так:

iptables 
   -I FORWARD 13 
   -t filter 
   -p udp 
   -s 192.168.1.100 
   -d 192.168.0.151
  --dport 18000
   -j ACCEPT

и, как и в первой команде, делает это для каждой комбинации IP-адреса и порта.

эти правила должны позволять принимать входящие сообщения на указанных портах, только если они приходят с указанных адресов.

выше отвечает на суть вопроса, который я на самом деле спрошенный. На самом деле у меня еще нет его работы в этом конкретном случае, но я считаю, что это потому, что Verizon реализовал какую-то проверку в своем программном обеспечении, чтобы исключить пересылаемые пакеты как способ предотвратить ретрансляцию потоковых данных непосредственно из интернета.

1
отвечен Allan 2023-04-17 18:32

ваш маршрутизатор FiOS Actiontec подключается к ONT с помощью сигнала WAN MoCA и подключается к приставкам с помощью сигналов LAN MoCA. Коаксиальный порт на маршрутизаторе может отправлять и принимать сигналы WAN и LAN MoCA, но только сигналы LAN MoCA важны для Media Manager. (В некоторых случаях у клиентов FiOS TV может быть соединение WAN Ethernet между маршрутизатором FiOS и ONT, и в этом случае сигнал WAN MoCA не будет присутствовать на коаксиальной проводке в доме. Но сигналы LAN MoCA все равно будут генерируется маршрутизатором и приставками для связи.)

Если вы настроили DMZ маршрутизатора Actiontec на статический IP-адрес, назначенный порту WAN маршрутизатора DD-WRT, все, что будет делать, это отправлять входящий интернет-трафик непосредственно на маршрутизатор DD-WRT.

enter image description here

приставки подключаются по сигналам LAN MoCA к локальной сети Actiontec. DMZ в маршрутизаторе Actiontec для Media Manager не требуется. Вы хотите только DMZ в Actiontec если вы используете другие программы на ваших ПК или DD-WRT, которые должны получать входящий трафик из интернета.

Я не знаю точно, как работает Media Manager, но я подозреваю, что когда вы заходите в меню Media Manager STB, он отправляет какое-то широковещательное сообщение, чтобы найти все компьютеры в локальной сети, на которых работает программное обеспечение Media Manager.

вы можете попробовать отключить DMZ в Actiontec и настроить правила переадресации портов (или DMZ) в DD-WRT для отправки входящих подключения на правильные порты Media Manager на один компьютер в локальной сети DD-WRT.

enter image description here

Если он работает на всех, то только один ПК может делить средства массовой информации с Стбс. Тем не менее, я не уверен, что связь, используемая в Media Manager, будет работать через сетевую трансляцию от порта WAN DD-WRT до портов LAN.

Media Manager предназначен для использования между приставками и ПК, подключенных к локальной сети на Actiontec.

1
отвечен Bavi_H 2023-04-17 20:49

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

dd-wrt
dmz
iptables
router
routing
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх