The OpenNET Project: Проброс IPTV-трафика в локальную сеть при помощи OpenBSD и пакетного фильтра PF

Возникла необходимость обеспечения возможности просмотра IPTV сразу на нескольких устройствах в домашней сети. Реализации данной схемы мешало то, что полученный от провайдера модем имел два раздельных порта для данных и для IPTV. Простейшим решением было бы закорачивание IPTV-порта в домашний коммутатор, но такая схема нарушает принципы построения безопасных систем и сулит появление паразитного трафика. В связи с этим было решено организовать перенаправление IPTV-трафика через локальный шлюз, на котором используется пакетный фильтр PF и IGMP-прокси. 1. Включаем поддержку переброса между сетевыми интерфейсами мультикаст трафика, для OpenBSD: echo "multicast_router=YES" >> /etc/rc.conf.local перезагружаем систему. Активируем перенаправление мультисаст трафика: sysctl net.inet.ip.mforwarding=1 в /etc/sysctl.conf сохраняем настройку "net.inet.ip.mforwarding=1". 2. Устанавливаем пакет net/igmpproxy с реализацией igmp-прокси: pkg_add igmpproxy Отображаем свои сетевые настройки в файле конфигурации /etc/igmpproxy.conf: quickleave altnet 0.0.0.0/0 # принимаем igmp-трафик из всех подсетей phyint vr2 upstream ratelimit 0 threshold 1 phyint vr0 downstream ratelimit 0 threshold 1 phyint pppoe0 disabled Добавляем запуск igmpproxy в /etc/rc.local, чтобы прокси запустился после перезагрузки. 3. Настраиваем параметры внешнего сетевого интерфейса, через который приходит IPTV-поток. Для работы igmpproxy на интерфейсе должен быть IP-адрес, для получения которого обычно можно использовать DHCP или назначить вручную (бывают случаи привязки IP к MAC-адресу телеприставки, что потребует подмены MAC-адреса на сетевом интерфейсе шлюза). 4. Настраиваем правила для прохождения IGMP-трафика и multicast-потока в пакетном фильтре PF (в нашем случае - это UDP трафик на 5002 порт). Основной проблемой, возникающей в процессе настройки, является то, что в IGMP пакетах используется опция протокола IP "Router Alert", которая по умолчанию вычищается из пакетов при использовании PF (для отключения чистки расширенных опций необходимо использовать параметр allow-opts). В pf.conf добавляем примерно следующее: LAN = "vr0" IPTV = "vr2" block on $IPTV pass in on $IPTV inet proto udp from any to any port 5002 pass on {$LAN, $IPTV} proto igmp allow-opts

2.4, banzai, 06:31, 24/02/2011 [^] [ответить] [смотреть все]	+/–
Нет. IGMP прокси, проксирует только igmp запросы. Получает запрос с внутренней сети, и подписывается на поток снаружи и добавляет маршрут в таблицу маршрутизации. ( можно посмотреть netstat -g ). Т.е. до клиента бежит multicast трафик. Скорее всего вы перепутали с udpxy, который как раз сам подписывается на поток и перегоняет его к вам уже по unicast.

3.8, mma, 18:20, 24/02/2011 [^] [ответить] [смотреть все]	+/–
multicast_router не нужен точно. А вот forward нужен, тут я ошибся

2.7, unscrubber, 11:30, 24/02/2011 [^] [ответить] [смотреть все]	+/–
этому (udpxy) порту всего 13 месяцев, igmpproxy был доступен раньше. ну и они разные вещи делают вообщето. схожие, но udp и http раздача клиентам в локалкеэто не одно и тоже

3.14, Leshka, 18:27, 01/03/2011 [^] [ответить] [смотреть все]	+/–
Что-то я в свое время не осилил igmpproxy. На мой взгляд для локалки не будет заметно разницы между udpxy и igmpproxy по объему генерируемого трафика.

2.13, Alexander Sheiko, 19:04, 27/02/2011 [^] [ответить] [смотреть все]	+/–
Укртелеком? Если нет приставки и нужно смотреть передачи на локальном компе, стоящем за опенроутером - как вам удалось всё это сконфигурировать?

Проброс IPTV-трафика в локальную сеть при помощи OpenBSD и пакетного фильтра PF	[исправить]
Возникла необходимость обеспечения возможности просмотра IPTV сразу на нескольких устройствах в домашней сети. Реализации данной схемы мешало то, что полученный от провайдера модем имел два раздельных порта для данных и для IPTV. Простейшим решением было бы закорачивание IPTV-порта в домашний коммутатор, но такая схема нарушает принципы построения безопасных систем и сулит появление паразитного трафика. В связи с этим было решено организовать перенаправление IPTV-трафика через локальный шлюз, на котором используется пакетный фильтр PF и IGMP-прокси. 1. Включаем поддержку переброса между сетевыми интерфейсами мультикаст трафика, для OpenBSD: echo "multicast_router=YES" >> /etc/rc.conf.local перезагружаем систему. Активируем перенаправление мультисаст трафика: sysctl net.inet.ip.mforwarding=1 в /etc/sysctl.conf сохраняем настройку "net.inet.ip.mforwarding=1". 2. Устанавливаем пакет net/igmpproxy с реализацией igmp-прокси: pkg_add igmpproxy Отображаем свои сетевые настройки в файле конфигурации /etc/igmpproxy.conf: quickleave altnet 0.0.0.0/0 # принимаем igmp-трафик из всех подсетей phyint vr2 upstream ratelimit 0 threshold 1 phyint vr0 downstream ratelimit 0 threshold 1 phyint pppoe0 disabled Добавляем запуск igmpproxy в /etc/rc.local, чтобы прокси запустился после перезагрузки. 3. Настраиваем параметры внешнего сетевого интерфейса, через который приходит IPTV-поток. Для работы igmpproxy на интерфейсе должен быть IP-адрес, для получения которого обычно можно использовать DHCP или назначить вручную (бывают случаи привязки IP к MAC-адресу телеприставки, что потребует подмены MAC-адреса на сетевом интерфейсе шлюза). 4. Настраиваем правила для прохождения IGMP-трафика и multicast-потока в пакетном фильтре PF (в нашем случае - это UDP трафик на 5002 порт). Основной проблемой, возникающей в процессе настройки, является то, что в IGMP пакетах используется опция протокола IP "Router Alert", которая по умолчанию вычищается из пакетов при использовании PF (для отключения чистки расширенных опций необходимо использовать параметр allow-opts). В pf.conf добавляем примерно следующее: LAN = "vr0" IPTV = "vr2" block on $IPTV pass in on $IPTV inet proto udp from any to any port 5002 pass on {$LAN, $IPTV} proto igmp allow-opts

22.02.2011 , Источник: http://undeadly.org/cgi?action=arti... Ключи: igmp, multicast, iptv, pf, openbsd, gateway, (найти похожие документы)
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter