Маршрутизация только от DMZ до внутренней сети

Ваш маршрутизатор FiOS Actiontec подключается к ONT с помощью сигнала WAN MoCA и подключается к STB с помощью сигналов LAN MoCA. Коаксиальный порт на маршрутизаторе может отправлять и принимать сигналы MoCA как WAN, так и LAN, но для Media Manager важны только сигналы MoCA LAN. (В некоторых случаях клиенты FiOS TV могут иметь соединение WAN Ethernet между маршрутизатором FiOS и ONT, и в этом случае сигнал WAN MoCA не будет присутствовать в коаксиальной проводке дома. Но сигналы LAN MoCA все равно будут генерироваться роутер и приставки для общения.)

Если вы установили в DMZ маршрутизатора Actiontec статический IP-адрес, назначенный для порта WAN вашего маршрутизатора DD-WRT, все, что вам нужно сделать, это отправить входящий интернет-трафик непосредственно на ваш маршрутизатор DD-WRT.

STB подключаются по локальной сети MoCA сигналы к локальной сети Actiontec. Вам не нужна DMZ в роутере Actiontec для Media Manager. Вы захотите использовать DMZ в Actiontec только в том случае, если на ваших ПК запущены другие программы или DD-WRT, которые должны получать входящий трафик из Интернета.

Я не знаю точно, как работает Media Manager, но я подозреваю, что когда вы заходите в меню Media Manager STB, он отправляет какое-то широковещательное сообщение, чтобы найти все компьютеры в локальной сети, на которых запущено программное обеспечение Media Manager.

Вы можете попробовать отключить DMZ в Actiontec и настроить правила переадресации портов (или DMZ) в DD-WRT, чтобы отправлять входящие соединения через правильные порты Media Manager на один ПК в локальной сети DD-WRT.

Если он вообще работает, то только один ПК может совместно использовать мультимедиа с приставками. Однако я не уверен, что связь, используемая в Media Manager, будет работать через трансляцию сети от порта WAN DD-WRT к портам LAN.

Media Manager предназначен для использования между STB и ПК, подключенными к сети LAN на Actiontec.

Веб-интерфейс DD-WRT не поддерживает ограничение IP-адреса источника данных, подлежащих пересылке. Однако эта функция поддерживается ОС, поэтому ее можно настроить в командной строке (доступ через SSH) с помощью команды «iptables». Я буду разбивать команду на несколько строк для удобства чтения, но все они должны идти по одной строке, если вы на самом деле пытаетесь их использовать.

Начните с создания правил в цепочке «PREROUTING» таблицы «nat» для каждой комбинации STB / порт. Вставьте эти правила после существующих правил переадресации портов и перед окончательным правилом «TRIGGER», например:

iptables  -t nat  -I PREROUTING 8  --source 192.168.1.100  --dst 192.168.1.2 -p tcp --dport 18000  -j DNAT  --to-destination 192.168.0.151:18000  

Делайте это для каждой комбинации адреса и порта, с которых вы хотите получать данные. Пункт назначения и пункт назначения одинаковы для каждой команды. Вы можете оставить номер правила (8) одинаковым для каждой команды, поэтому каждая новая запись поднимает предыдущие записи на одно значение.

Затем добавьте каждую комбинацию адрес / порт в цепочку «FORWARD» таблицы «filter». Как и прежде, добавьте эти правила после существующих перенаправленных портов и перед первым «TRIGGER», как показано ниже:

iptables  -I FORWARD 13  -t filter  -p udp  -s 192.168.1.100  -d 192.168.0.151 --dport 18000 -j ACCEPT 

И, как в первой команде, это делается для каждой комбинации IP-адреса и порта.

Эти правила должны разрешать прием входящих сообщений на указанные порты, только если они приходят с указанных адресов.

Вышеизложенное отвечает на суть вопроса, который я фактически задал. На самом деле у меня пока нет работы в этом конкретном случае, но я полагаю, что это потому, что Verizon реализовал какую-то проверку в своем программном обеспечении, чтобы исключить переадресованные пакеты как способ предотвратить передачу потоковых данных телеприставками напрямую из интернет.