Forum » Omrežja in internet » udpxy na DD-WRT (iptables težava)
udpxy na DD-WRT (iptables težava)
20sdfj093f ::
Zdravo
naj za začetek povem, da nimam znanja o Linuxu, tako da boste lahko prilagodili nivo debate :)
Na routerju Buffalo WHR-G300N, na katerem uporabljam DD-WRT (v24-sp2 build 13064) želim uporabljati udpxy (udp proxy), ki bi mi multicast promet (IPTV) spreminjal v unicast (da ne smetim omrežja in da poskusim gledat prek WLAN - nekaterim bojda tako deluje).
Ker je flash image DD-WRTja prevelik, da bi ostalo še kaj prostora za JFFS mount flasha (router ima 4MB flasha), ne morem trajno shraniti udpxy-ja v /jffs, temveč sem spisal init kodo, ki mi ob bootanju routerja iz mojega freeweba z wget prenese omenjeni program (sklepam, da se shrani v RAM - tega je 32MB) in ga zažene (očitno se to zgodi, ko router že ima internetno povezavo, saj stvar deluje):
Torej to se ob zagonu routerja očitno uspešno izvede (sicer ne vem, ali je prav, da poganjam programe iz /usr/tmp ampak dela) saj lahko spremljam statusno stran udpxyja.
Težava pa je v tem, da če imam na routerju vklopljen firewall (stateful packet inspection - SPI) dropa vse paketke, ki prihajajo za IPTV. Spisal sem še enepar pravil, ki sem jih podturil DD-WRTjevemu GUI pod "firewall commands" sekcijo in če preverim prek SSHja, so pravila (po rebootu) očitno aktivna:
Vendar ob pregledu logov kljub temu paketke z IPja 172.17.140.x (in vseh IPjev, s kjer prihajajo IPTV streami) gladko zavrača (drop).
Mi zna morda kdo pomagati, kako pravilno skonfigurirati iptables, da bo IPTV delovala prek udpxyja tudi z vklopljenim SPI? Sicer pa mi IPTV deluje, če v VLC neposredno vpišem udp://@239.1.1.x:5000 ampak verjetno zato, ker gre to skoz kot multicast, medtem ko želim jaz z udpxy-jem narediti unicast promet.
Hvala za pomoč
LP
Edit: typos.
naj za začetek povem, da nimam znanja o Linuxu, tako da boste lahko prilagodili nivo debate :)
Na routerju Buffalo WHR-G300N, na katerem uporabljam DD-WRT (v24-sp2 build 13064) želim uporabljati udpxy (udp proxy), ki bi mi multicast promet (IPTV) spreminjal v unicast (da ne smetim omrežja in da poskusim gledat prek WLAN - nekaterim bojda tako deluje).
Ker je flash image DD-WRTja prevelik, da bi ostalo še kaj prostora za JFFS mount flasha (router ima 4MB flasha), ne morem trajno shraniti udpxy-ja v /jffs, temveč sem spisal init kodo, ki mi ob bootanju routerja iz mojega freeweba z wget prenese omenjeni program (sklepam, da se shrani v RAM - tega je 32MB) in ga zažene (očitno se to zgodi, ko router že ima internetno povezavo, saj stvar deluje):
cd / cd usr cd tmp sleep 10 wget http://freeweb.t-2.net/blabla...blabla/udpxy sleep 4 chmod 770 udpxy ./udpxy -p 1234
Torej to se ob zagonu routerja očitno uspešno izvede (sicer ne vem, ali je prav, da poganjam programe iz /usr/tmp ampak dela) saj lahko spremljam statusno stran udpxyja.
Težava pa je v tem, da če imam na routerju vklopljen firewall (stateful packet inspection - SPI) dropa vse paketke, ki prihajajo za IPTV. Spisal sem še enepar pravil, ki sem jih podturil DD-WRTjevemu GUI pod "firewall commands" sekcijo in če preverim prek SSHja, so pravila (po rebootu) očitno aktivna:
root@gateway:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED DROP udp -- anywhere anywhere udp dpt:route DROP udp -- anywhere anywhere udp dpt:route ACCEPT udp -- anywhere anywhere udp dpt:route logdrop icmp -- anywhere anywhere ACCEPT igmp -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:auth ACCEPT 0 -- anywhere anywhere state NEW logaccept 0 -- anywhere anywhere state NEW logdrop 0 -- anywhere anywhere ACCEPT udp -- anywhere 172.16.100.0/24 udp ACCEPT udp -- anywhere 172.17.140.0/24 udp ACCEPT udp -- anywhere 172.17.141.0/24 udp ACCEPT udp -- anywhere 84.255.209.0/24 udp ACCEPT udp -- anywhere 84.255.208.0/24 udp ACCEPT igmp -- anywhere anywhere ACCEPT udp -- anywhere anywhere udp dpt:5000 ACCEPT udp -- anywhere 224.0.0.0/4 udp
Vendar ob pregledu logov kljub temu paketke z IPja 172.17.140.x (in vseh IPjev, s kjer prihajajo IPTV streami) gladko zavrača (drop).
Mi zna morda kdo pomagati, kako pravilno skonfigurirati iptables, da bo IPTV delovala prek udpxyja tudi z vklopljenim SPI? Sicer pa mi IPTV deluje, če v VLC neposredno vpišem udp://@239.1.1.x:5000 ampak verjetno zato, ker gre to skoz kot multicast, medtem ko želim jaz z udpxy-jem narediti unicast promet.
Hvala za pomoč
LP
Edit: typos.
- spremenil: 20sdfj093f ()
x.sci ::
Pravila se gleda po vrsti in prvi zadetek obvelja. V tvojem primeru je zaradi
vse po 13. vrstici brez veze, vsaj ce ta rule res dropa paketke.
logdrop 0 -- anywhere anywhere
vse po 13. vrstici brez veze, vsaj ce ta rule res dropa paketke.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | iptables restartOddelek: Omrežja in internet | 1775 (1598) | BRBR |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2269 (2091) | SasoS |
| » | iptables problem z SSHOddelek: Omrežja in internet | 1933 (1787) | sverde21 |
| » | iptables + forwardOddelek: Operacijski sistemi | 2341 (1916) | tx-z |
| » | Debian blokira IP...Oddelek: Operacijski sistemi | 1126 (912) | BigWhale |