Всем привет!
Я недавно обновил оборудование и теперь в качестве роутера использую EdgeRouter ER-12. Я не полный новичок в *nix системах, но вот с настройкой фаервола и маршрутизации сталкиваюсь почти что в первый раз. Как раз и взял ER-12, что бы изучить эту тему. Конфигурация моей сети такова:
Что я сделал. Я выполнил вот эти инструкции для настройки igmp proxy: https://help.ui.com/hc/en-us/articles/204961854-EdgeRouter-IGMP-Proxy
Затем я создал 4 правила для фаерволла, объединив информацию из нескольких источников в Интернете:
Какие у меня вопросы и сомнения:
Я недавно обновил оборудование и теперь в качестве роутера использую EdgeRouter ER-12. Я не полный новичок в *nix системах, но вот с настройкой фаервола и маршрутизации сталкиваюсь почти что в первый раз. Как раз и взял ER-12, что бы изучить эту тему. Конфигурация моей сети такова:
- switch0 (порты eth0-eth7) используются для локальной сети. С ними же работает первый DHCP сервер (10.10.10.0/24)
- в порт eth8 подключена ТВ-приставка. Для этого порта используется второй DHCP сервер (10.10.11.0/24)
- в порт eth9 подключен кабель провайдера.
Что я сделал. Я выполнил вот эти инструкции для настройки igmp proxy: https://help.ui.com/hc/en-us/articles/204961854-EdgeRouter-IGMP-Proxy
Затем я создал 4 правила для фаерволла, объединив информацию из нескольких источников в Интернете:
Код:
IPv4 Firewall "WAN_IN":
Active on (eth9,IN)
rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 1099547 1043650546
condition - state RELATED,ESTABLISHED
30 accept udp 139 85488
condition - daddr base-address.mcast.net/4
40 accept igmp 0 0
50 drop all 0 0
condition - state INVALID
10000 drop all 0 0
--------------------------------------------------------------------------------
IPv4 Firewall "WAN_LOCAL":
Active on (eth9,LOCAL)
rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 202 19717
condition - state RELATED,ESTABLISHED
20 accept udp 139 85488
condition - daddr base-address.mcast.net/4
30 accept igmp 107 3424
40 drop all 73 4456
condition - state INVALID
10000 drop all 1328 64134Какие у меня вопросы и сомнения:
- Нужны ли мне правила 20 и 30 в секции WAN_LOCAL? Ведь эта секция предназначается для входящего трафика, который идёт в роутер. Мне же нужно, что бы igmp трафик шёл сразу в eth8.
- У правил 30 в WAN_IN и 20 в WAN_LOCAL указан параметр "destination address". Я думаю, нужно указывать "source address", т.к. трафик поступает с 224.0.0.0/4, а не уходит туда. При этом, ТВ приставка с такими правилами работает.
- Куда делось правило 20 в разделе WAN_IN? Его нет и в интерфейсе...
- Правильно ли я понимаю, что при такой конфигурации фаерволла весь igmp трафик всё-равно попадает также и в LAN (switch0), поскольку указанные правила распостраняются и на switch0, и на eth8? Если это так, то как мне сделать, что бы igmp трафик шёл только на интерфейс eth8? Создать ещё группы правил и разделить их: для swith0 и для eth8? Если так - то как выполнить такую настройку?
