Выборочно разрешить multicast

0

1

Доброго времени суток.

Дано:
Политика по умолчанию: ACCEPT
Сеть: 192.168.1.0/24
Мультикаст поток: -d 238.0.0.0/8

Можно ли через iptables разрешить получать multicast поток только определенным ip адресам ?

Например:
Валя с 192.168.1.56/32 может его получить, а Вася с 192.168.1.87/32 не может.

Ссылка

←	syslog-ng.Часть хостов резолвить по ip,часть нет.Как?

Source based routing не работает

→

-s Валя -d 238.0.0.0/8

pyatak123 ★
(06.12.12 14:53:39 MSK)

Ответ на: комментарий от pyatak123 06.12.12 14:53:39 MSK

-s Валя -d 238.0.0.0/8

Не подходит, т.к. исходящий адрес 10.0.0.0/8

joy4eg ★★★★★
(06.12.12 16:09:47 MSK) автор топика

Ответ на: комментарий от joy4eg 06.12.12 16:09:47 MSK

так вы же пишите «Валя с 192.168.1.56/32»

pyatak123 ★
(06.12.12 16:15:34 MSK)

Ответ на: комментарий от pyatak123 06.12.12 16:15:34 MSK

Все верно. Валя находиться в этой сети, но multicast приходит из другой ...

joy4eg ★★★★★
(06.12.12 16:23:51 MSK) автор топика

Ответ на: комментарий от joy4eg 06.12.12 16:23:51 MSK

Не очень понятно, напишите схему как у вас там все происходит, просто не очевидно откуда адреса 192.168.1.56/32 и 10.0.0.0/8.

pyatak123 ★
(06.12.12 16:31:08 MSK)

Ответ на: комментарий от pyatak123 06.12.12 16:31:08 MSK

wifi сеть: wlan0
Ethernet сеть: eth0

eth0 смотрит в интернеты, и имеет белый ип 37.XX.XX.XX/24
wlan0 смотрит в wifi сеть: 192.168.1.0/24

Между eth0 и wlan0 настроен MASQUERADE.

Далее есть igmpproxy, который multicast с eth0 перенаправляет в wlan0.
multicast имет вид -s 10.0.0.0/8 -d 238.0.0.0/8

joy4eg ★★★★★
(06.12.12 16:48:35 MSK) автор топика

Ответ на: комментарий от joy4eg 06.12.12 16:48:35 MSK

А если попробовать -s 10.0.0.0/8 -d Валя -j DROP ?

pyatak123 ★
(06.12.12 17:23:14 MSK)

Ответ на: комментарий от pyatak123 06.12.12 17:23:14 MSK

В цепочке FORWARD есессено.

pyatak123 ★
(06.12.12 17:26:07 MSK)

Ссылка

Ответ на: комментарий от pyatak123 06.12.12 17:23:14 MSK

Не выйдет, потому что в -d всегда будет 238.0.0.0/8.

joy4eg ★★★★★
(06.12.12 17:45:25 MSK) автор топика

Ответ на: комментарий от joy4eg 06.12.12 17:45:25 MSK

Так а кто у вас мультикаст разруливает, же ядро? Если так то почему бы и нет?!

pyatak123 ★
(06.12.12 18:03:31 MSK)

Ответ на: комментарий от pyatak123 06.12.12 18:03:31 MSK

Согласно tcpdump, multicast пакеты которые идут в wlan0 (192.168.1.0/24) имеют следующий вид:

-s 10.0.0.0/8 -d 238.0.0.0/8 -m udp -p udp --dport 1234

Как следствие фильтрация по src или dst адресу бессмысленна.

joy4eg ★★★★★
(06.12.12 18:24:04 MSK) автор топика

Ссылка

По-моему, вменяемо никак, только или по VLAN'у на каждого, или как провайдеры TV - шифровать поток.

~~berrywizard~~ ★★★★★
(07.12.12 23:48:19 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	syslog-ng.Часть хостов резолвить по ip,часть нет.Как?

Admin

Source based routing не работает

→

Похожие темы