Roteamento da DMZ somente para a rede interna

Navegue suas respostas
1

Eu tenho uma rede doméstica conectada ao serviço FIOS da Verizon. O roteador ActionTec da Verizon está conectado ao ONT via coaxial para estabelecer a rede MOCA. A porta WAN do meu roteador DD-WRT está conectada a uma das portas LAN da ActionTec. O roteador DD-WRT é configurado com um endereço IP estático e atribuído à DMZ (isso é feito, portanto, só preciso configurar o encaminhamento de porta uma vez).

Meu problema é que isso não permite que os computadores conectados ao DD-WRT sirvam streaming de áudio / vídeo para a rede MOCA usando o Media Manager da Verizon. Sei que o Media Manager usa as portas 18000, 18001, 5050 e 5060 , mas eu não sei como encaminhar essas portas para que elas estejam disponíveis apenas para a rede da ActionTec (ou seja, os decodificadores de cabo) e não para o resto da internet.

Para facilitar a discussão, os endereços IP atuais usados internamente são: 

192.168.1.1        - ActionTec Router
192.168.1.2        - DD-WRT Router's WAN port (assigned to DMZ)
192.168.1.100-.103 - Set-Top Boxes (STBs)
192.168.0.1        - DD-WRT's LAN address
192.168.0.151      - Computer running Media Manager
    
por Allan 11.05.2010 / 17:58

2 respostas

1

A interface web do DD-WRT não suporta a restrição do endereço IP de origem dos dados a serem encaminhados. No entanto, essa funcionalidade é suportada pelo sistema operacional, portanto, ela pode ser configurada na linha de comando (acessada via SSH) usando o comando "iptables". Vou dividir o comando em várias linhas para facilitar a leitura, mas elas devem seguir na mesma linha se você estiver realmente tentando usá-las.

Comece criando regras na cadeia "PREROUTING" da tabela "nat" para cada combinação STB / porta. Insira essas regras após as regras de encaminhamento de porta existentes e antes da regra final "TRIGGER", assim: 

iptables 
   -t nat 
   -I PREROUTING 8 
  --source 192.168.1.100 
  --dst 192.168.1.2 -p tcp
  --dport 18000 
   -j DNAT 
  --to-destination 192.168.0.151:18000

Faça isso para cada combinação de endereço e porta da qual você deseja receber dados. O destino e o destino são os mesmos para cada comando. Você pode deixar o número da regra (8) igual para cada comando, então cada nova entrada faz com que as entradas anteriores subam um valor.

Em seguida, adicione cada combinação de endereço / porta à cadeia "FORWARD" da tabela "filter". Como antes, adicione essas regras após as portas encaminhadas existentes e antes do primeiro "TRIGGER", desta forma: 

iptables 
   -I FORWARD 13 
   -t filter 
   -p udp 
   -s 192.168.1.100 
   -d 192.168.0.151
  --dport 18000
   -j ACCEPT

E, como no primeiro comando, fazendo isso para cada combinação de endereço IP e porta.

Essas regras devem permitir que as mensagens recebidas sejam recebidas nas portas especificadas somente se elas vierem dos endereços especificados.

O acima responde ao núcleo da pergunta que eu realmente fiz. Na verdade, não estou trabalhando nesse caso específico, mas acredito que isso se deve ao fato de a Verizon ter implementado algum tipo de verificação em seu software para descartar pacotes encaminhados como forma de evitar que os set-top boxes transmitissem dados de streaming diretamente de a internet.

    
por 12.05.2010 / 15:22
1

O roteador FiOS Actiontec se conecta ao ONT usando um sinal WAN MoCA e se conecta aos STBs usando sinais LAN MoCA. A porta coaxial no roteador pode enviar e receber sinais WAN e LAN MoCA, mas somente os sinais LAN MoCA são importantes para o Media Manager. (Em alguns casos, os clientes da FiOS TV podem ter uma conexão WAN Ethernet entre o roteador FiOS e o ONT, caso em que nenhum sinal WAN MoCA estará presente na fiação coaxial em casa. Mas os sinais da LAN MoCA ainda serão gerados pelo roteador e STBs para se comunicar.)

Se você configurou o DMZ do roteador Actiontec para o endereço IP estático atribuído à porta WAN do seu roteador DD-WRT, tudo o que ele fará será enviar o tráfego de entrada da Internet diretamente para o seu roteador DD-WRT. / p>

OsSTBconectam-seatravésdossinaisLANMoCAàredeLANdaActiontec.VocênãoprecisadaDMZnoroteadorActiontecparaoMediaManager.VocêsódesejaaDMZnoActiontecseestiverexecutandooutrosprogramasemseusPCsouDD-WRTqueprecisamrecebertráfegodeentradadaInternet.

EunãoseiexatamentecomooMediaManagerfunciona,maseususpeitoquequandovocêentranomenudoMediaManagerdaSTB,eleenviaalgumtipodemensagemdebroadcastparaencontrartodososPCsnaLANqueestãoexecutandoosoftwareMediaManager.

VocêpodetentardesativaraDMZnoActiontececonfigurarasregrasdeencaminhamentodeporta(ouDMZ)noDD-WRTparaenviarconexõesdeentradanasportascorretasdoMediaManagerparaumPCnaLANDD-WRT.

Se funcionar, então apenas um PC pode compartilhar mídia com os STBs. No entanto, não tenho certeza se a comunicação usada no Media Manager funcionará na tradução da rede da porta WAN do DD-WRT para as portas LAN.

O Media Manager foi projetado para ser usado entre STBs e PCs conectados à rede LAN no Actiontec.

    
por 12.05.2010 / 05:29

Tags

Como fazer as fontes parecerem melhores no mac? O IIS pode ser instalado no Home Premium Edition do Windows 7?