Маршрутизация только от DMZ до внутренней сети

2629
Allan

У меня есть домашняя сеть, подключенная к сервису Verizon FIOS. Маршрутизатор Verizon ActionTec подключен к ONT через коаксиальный кабель для установления сети MOCA. Порт WAN моего маршрутизатора DD-WRT подключен к одному из портов LAN в ActionTec. Маршрутизатор DD-WRT настроен на использование статического IP-адреса и назначен DMZ (это сделано, поэтому мне нужно настроить переадресацию портов только один раз).

Моя проблема в том, что это не позволяет компьютерам, подключенным к DD-WRT, передавать потоковое аудио / видео в сеть MOCA с помощью Verizon Media Manager. Я знаю, что Media Manager использует порты 18000, 18001, 5050 и 5060, но я не знаю, как переадресовать эти порты, чтобы они были доступны только для сети ActionTec (т. Е. Кабельных приставок), а не для остальных. в интернете.

Для простоты обсуждения текущие внутренние IP-адреса:

192.168.1.1 - ActionTec Router 192.168.1.2 - DD-WRT Router's WAN port (assigned to DMZ) 192.168.1.100-.103 - Set-Top Boxes (STBs) 192.168.0.1 - DD-WRT's LAN address 192.168.0.151 - Computer running Media Manager 
1

2 ответа на вопрос

1
Bavi_H

Ваш маршрутизатор FiOS Actiontec подключается к ONT с помощью сигнала WAN MoCA и подключается к STB с помощью сигналов LAN MoCA. Коаксиальный порт на маршрутизаторе может отправлять и принимать сигналы MoCA как WAN, так и LAN, но для Media Manager важны только сигналы MoCA LAN. (В некоторых случаях клиенты FiOS TV могут иметь соединение WAN Ethernet между маршрутизатором FiOS и ONT, и в этом случае сигнал WAN MoCA не будет присутствовать в коаксиальной проводке дома. Но сигналы LAN MoCA все равно будут генерироваться роутер и приставки для общения.)

Если вы установили в DMZ маршрутизатора Actiontec статический IP-адрес, назначенный для порта WAN вашего маршрутизатора DD-WRT, все, что вам нужно сделать, это отправить входящий интернет-трафик непосредственно на ваш маршрутизатор DD-WRT.

STB подключаются по локальной сети MoCA сигналы к локальной сети Actiontec. Вам не нужна DMZ в роутере Actiontec для Media Manager. Вы захотите использовать DMZ в Actiontec только в том случае, если на ваших ПК запущены другие программы или DD-WRT, которые должны получать входящий трафик из Интернета.

Я не знаю точно, как работает Media Manager, но я подозреваю, что когда вы заходите в меню Media Manager STB, он отправляет какое-то широковещательное сообщение, чтобы найти все компьютеры в локальной сети, на которых запущено программное обеспечение Media Manager.

Вы можете попробовать отключить DMZ в Actiontec и настроить правила переадресации портов (или DMZ) в DD-WRT, чтобы отправлять входящие соединения через правильные порты Media Manager на один ПК в локальной сети DD-WRT.

Если он вообще работает, то только один ПК может совместно использовать мультимедиа с приставками. Однако я не уверен, что связь, используемая в Media Manager, будет работать через трансляцию сети от порта WAN DD-WRT к портам LAN.

Media Manager предназначен для использования между STB и ПК, подключенными к сети LAN на Actiontec.

Я понимаю, как работает сеть в ее текущем состоянии, и что программное обеспечение Verizon предназначено только для работы в сети ActionTec. Однако я считаю, что при правильных правилах переадресации портов DD-WRT должен отображаться для STB как компьютер в локальной сети. В основном я пытаюсь понять, какими должны быть эти правила и как их создавать. Allan 14 лет назад 0
1
Allan

Веб-интерфейс DD-WRT не поддерживает ограничение IP-адреса источника данных, подлежащих пересылке. Однако эта функция поддерживается ОС, поэтому ее можно настроить в командной строке (доступ через SSH) с помощью команды «iptables». Я буду разбивать команду на несколько строк для удобства чтения, но все они должны идти по одной строке, если вы на самом деле пытаетесь их использовать.

Начните с создания правил в цепочке «PREROUTING» таблицы «nat» для каждой комбинации STB / порт. Вставьте эти правила после существующих правил переадресации портов и перед окончательным правилом «TRIGGER», например:

iptables  -t nat  -I PREROUTING 8  --source 192.168.1.100  --dst 192.168.1.2 -p tcp --dport 18000  -j DNAT  --to-destination 192.168.0.151:18000  

Делайте это для каждой комбинации адреса и порта, с которых вы хотите получать данные. Пункт назначения и пункт назначения одинаковы для каждой команды. Вы можете оставить номер правила (8) одинаковым для каждой команды, поэтому каждая новая запись поднимает предыдущие записи на одно значение.

Затем добавьте каждую комбинацию адрес / порт в цепочку «FORWARD» таблицы «filter». Как и прежде, добавьте эти правила после существующих перенаправленных портов и перед первым «TRIGGER», как показано ниже:

iptables  -I FORWARD 13  -t filter  -p udp  -s 192.168.1.100  -d 192.168.0.151 --dport 18000 -j ACCEPT 

И, как в первой команде, это делается для каждой комбинации IP-адреса и порта.

Эти правила должны разрешать прием входящих сообщений на указанные порты, только если они приходят с указанных адресов.


Вышеизложенное отвечает на суть вопроса, который я фактически задал. На самом деле у меня пока нет работы в этом конкретном случае, но я полагаю, что это потому, что Verizon реализовал какую-то проверку в своем программном обеспечении, чтобы исключить переадресованные пакеты как способ предотвратить передачу потоковых данных телеприставками напрямую из интернет.

Похожие вопросы