Routing nur von der DMZ zum internen Netzwerk

2839
Allan

Ich habe ein Heimnetzwerk, das mit dem FIOS-Dienst von Verizon verbunden ist. Der ActionTec-Router von Verizon ist über Koax mit dem ONT verbunden, um das MOCA-Netzwerk aufzubauen. Der WAN-Port meines DD-WRT-Routers ist mit einem der LAN-Ports von ActionTec verbunden. Der DD-WRT-Router ist mit einer statischen IP-Adresse konfiguriert und der DMZ zugewiesen (dies ist so, dass ich nur einmal Port-Forwarding konfigurieren muss).

Mein Problem ist, dass Computer, die mit dem DD-WRT verbunden sind, keine Streams von Audio / Video zum MOCA-Netzwerk mithilfe des Media Managers von Verizon bereitstellen können. Ich weiß, dass Media Manager die Ports 18000, 18001, 5050 und 5060 verwendet, aber ich weiß nicht, wie diese Ports weitergeleitet werden sollen, so dass sie nur für das ActionTec-Netzwerk (dh die Kabel-Set-Top-Boxen) und nicht für den Rest verfügbar sind des Internets.

Zur Vereinfachung der Diskussion sind die aktuell verwendeten IP-Adressen die folgenden:

192.168.1.1 - ActionTec Router 192.168.1.2 - DD-WRT Router's WAN port (assigned to DMZ) 192.168.1.100-.103 - Set-Top Boxes (STBs) 192.168.0.1 - DD-WRT's LAN address 192.168.0.151 - Computer running Media Manager
1

2 Antworten auf die Frage

1
Bavi_H

Ihr FiOS Actiontec-Router stellt über ein WAN-MoCA-Signal eine Verbindung zum ONT her und über LAN-MoCA-Signale eine Verbindung zu den STBs. Der Koax-Port des Routers kann sowohl WAN- als auch LAN-MoCA-Signale senden und empfangen, aber nur die LAN-MoCA-Signale sind für Media Manager wichtig. (In einigen Fällen verfügen FiOS-TV-Kunden möglicherweise über eine WAN-Ethernet-Verbindung zwischen dem FiOS-Router und dem ONT. In diesem Fall ist kein WAN-MoCA-Signal auf der Koaxialverdrahtung im Haus vorhanden. Es werden jedoch immer noch LAN-MoCA-Signale vom EOS generiert Router und STBs zur Kommunikation.)

Wenn Sie für die DMZ des Actiontec-Routers die statische IP-Adresse festgelegt haben, die Sie dem WAN-Port Ihres DD-WRT-Routers zugewiesen haben, müssen Sie nur eingehenden Internetverkehr direkt an Ihren DD-WRT-Router senden.

Die STBs verbinden sich über die LAN-MoCA-Signale mit dem LAN-Netzwerk Ihres Actiontec. Sie benötigen keine DMZ im Actiontec-Router für Media Manager. Sie möchten DMZ nur in der Actiontec, wenn Sie andere Programme auf Ihrem PC oder DD-WRT ausführen, die eingehenden Datenverkehr aus dem Internet empfangen müssen.

Ich weiß nicht genau, wie Media Manager funktioniert, aber ich vermute, wenn Sie das Media Manager-Menü der STB aufrufen, sendet es eine Art Rundsendungsnachricht, um alle PCs im LAN zu finden, auf denen die Media Manager-Software ausgeführt wird.

Sie können versuchen, die DMZ im Actiontec auszuschalten und Portweiterleitungsregeln (oder DMZ) im DD-WRT einzurichten, um eingehende Verbindungen über die richtigen Media Manager-Ports an einen PC im DD-WRT-LAN zu senden.

Wenn es überhaupt funktioniert, kann nur ein PC Medien mit den STBs teilen. Ich bin mir jedoch nicht sicher, ob die in Media Manager verwendete Kommunikation über die Netzwerkübersetzung vom WAN-Port des DD-WRT zu LAN-Ports funktioniert.

Der Media Manager kann zwischen STBs und PCs verwendet werden, die an das ActionNet-LAN ​​angeschlossen sind.

Ich verstehe, wie das Netzwerk, wie es derzeit eingerichtet ist, funktioniert und dass die Software von Verizon nur für das ActionTec-Netzwerk geeignet ist. Ich glaube jedoch, dass der DD-WRT mit den richtigen Portweiterleitungsregeln den STBs als Computer im lokalen Netzwerk erscheinen sollte. Ich versuche hauptsächlich herauszufinden, was diese Regeln sein sollen und wie man sie erstellt. Allan vor 14 Jahren 0
1
Allan

Die Webschnittstelle von DD-WRT unterstützt keine Einschränkung der Quell-IP-Adresse der weiterzuleitenden Daten. Diese Funktionalität wird jedoch vom Betriebssystem unterstützt und kann daher über die Befehlszeile (Zugriff über SSH) mit dem Befehl "iptables" konfiguriert werden. Ich werde den Befehl aus Gründen der Lesbarkeit in mehrere Zeilen aufteilen, aber alle sollten in der gleichen Zeile stehen, wenn Sie sie tatsächlich verwenden wollen.

Erstellen Sie zunächst Regeln in der Kette "PREROUTING" der Tabelle "nat" für jede STB / Port-Kombination. Fügen Sie diese Regeln nach den vorhandenen Portweiterleitungsregeln und vor der endgültigen "TRIGGER" -Regel wie folgt ein:

iptables  -t nat  -I PREROUTING 8  --source 192.168.1.100  --dst 192.168.1.2 -p tcp --dport 18000  -j DNAT  --to-destination 192.168.0.151:18000

Führen Sie dies für jede Kombination von Adresse und Port aus, von der Sie Daten erhalten möchten. Das Ziel und das Ziel sind für jeden Befehl gleich. Sie können die Regelnummer (8) für jeden Befehl gleich belassen, sodass bei jedem neuen Eintrag die vorherigen Einträge um einen Wert nach oben verschoben werden.

Fügen Sie dann jede Adress- / Port-Kombination der "FORWARD" -Kette der "Filter" -Tabelle hinzu. Fügen Sie diese Regeln wie zuvor nach den vorhandenen weitergeleiteten Ports und vor dem ersten "TRIGGER" hinzu:

iptables  -I FORWARD 13  -t filter  -p udp  -s 192.168.1.100  -d 192.168.0.151 --dport 18000 -j ACCEPT

Und wie im ersten Befehl für jede Kombination aus IP-Adresse und Port.

Diese Regeln sollten den Empfang eingehender Nachrichten an den angegebenen Ports nur dann ermöglichen, wenn sie von den angegebenen Adressen stammen.

Das oben Gesagte beantwortet den Kern der Frage, die ich tatsächlich gestellt habe. In diesem speziellen Fall funktioniert es noch nicht, aber ich glaube, das liegt daran, dass Verizon eine Art Check in seiner Software implementiert hat, um weitergeleitete Pakete auszuschließen, um zu verhindern, dass Set-Top-Boxen Streaming-Daten direkt weiterleiten das Internet.

Verwandte Probleme