А не легче поднять VPN?
Подскажите, пожалуйста, как я могу запретить все входящие соединения из внешки (WAN) на роутер по определенному порту, кроме одного заданного IP. Стандартный фаерволл в прошивке блокирует только между роутером и LAN. А мне нужно блокировать входящие соединения непосредственно на сам роутер из WAN.
Задача такая.
Разрешить входящие соединения на сам роутер из WAN по порту 1234 только для IP 11.22.33.44. Для всех остальных IP-адресов, порт 1234 должен быть недоступен из внешки на уровне роутера.
Для чего это нужно.
На самом роутере расшариваем IPTV провайдера по порту 1234 на внешку (то есть IPTV проксируем с роутера на внешку). Задача такова, чтобы подключиться к прокси IPTV на роутере мог только заданный мной IP.
P.S. Когда мы в роутере включаем опцию "доступ к роутеру из WAN", то помимо порта 8080 (для web конфига) открываются все порты и для всех адресов. Таким образом, к моему iptv может подключаться кто угодно из внешки. А мне нужно расшарить iptv только для одного конкретного внешнего IP-адреса.
Last edited by IamNewbie; 15-10-2014 at 23:15.
А не легче поднять VPN?
Ну так VPN решает все и не надо никакого прокси
Поднимаете на роутере VPN сервер, клиент подключаются во внутреннюю есть роутера, используют Логин/пароль
IamNewbie, чётко сформулирована прямо таки моя проблема. В настройках выставил Multicast to HTTP Proxy Port 1234 и галочку Enable access from WAN.
В итоге к udpxy можно подключаться из внешки с любого айпи. Но надо запретить такие подключения для всех айпи, кроме одного заданного.
Как добиться желаемого-то? Помогите, вопрос актуален.
З.Ы. Насчет VPN сервера ничего не понял. Что значит "клиент подключаются во внутреннюю сеть роутера"? Как будет подключаться телевизор SMART-tv к vpn-серверу? Ещё не дай бог логин и пароль предполагается каждый раз спрашивать? Нет уж, все настройки должны быть сделаны на роутере и просто udpxy должна допускать подключения с одного конкретного ip, а со всех прочих - нет.
То есть если запустить на самом роутере VPN-сервер, то подключившись к нему как VPN-клиент, я получу доступ и к IPTV?
Почитав немного интернет, я предполагаю, что такой тип подключения будет иметь слишком маленькую скорость обмена данными между сетями (~5мбит/c). Этого будет совсем недостаточно для IPTV, уж тем более для HD каналов. Иначе говоря, даже если это настроить, то iptv будет лагать от нехватки скорости. Или я ошибаюсь? VPN-туннель же шифрует передаваемые данные, скорость такой сетки будет по-любому низкая для iptv.
Это значит, что между vpn-сервером и vpn-клиентом будет что-то типа обычной локальной сети, только через интернет. То есть vpn-клиент будет видеть компы (за vpn-сервером на роутере), как обычные локальные компы в сетевом окружении.
Сам Smart-TV не имеет VPN-клиента, а значит сам не сможет подключиться к этой VPN-сети. Ну а если всё-таки пытаться использовать VPN, то со SmartTV вижу только один вариант. На компе, который будет VPN-клиент, поднимаем свою проксю, с которой уже и раздаем на ТВ.
Но это всё дикие костыли, всё должно быть значительно проще, настройкой фаерволла на роутере-сервере и без танцев с бубном.
Last edited by IamNewbie; 16-10-2014 at 03:32.
почему вы решили, что 5-8 Мбит/с буде недостаточно?
костыли, это ваш прокси и проброс портов.
на самом деле все решается ДВУМЯ роутерами, на одном поднимается сервер, второй подключается как клиент.
хотите увеличить скорость и снизить нагрузку на роутере - уберите шифрование.
AndreyPopov, у меня такое ощущение, что вы в некотором роде (либо полностью) не поняли поставленную задачу. Прокси, о которой идёт речь, - это UDP multicast to HTTP прокси (udpxy), которая должна позволить для просмотра iptv-каналов вместо ссылок вида udp://@x.x.x.x:порт обращаться по ссылкам вида http://z.z.z.z:1234/udp/x.x.x.x:порт, где z.z.z.z - это внешний ip роутера, на котором работает udpxy. В некотором роде это и есть наш "сервер", который "слушает" на порту 1234 и позволяет подключаться клиентам из интернета. Само наличие запущенного udpxy на роутере - это наша данность (условие задачи) и это даже не обсуждается. Оно прекрасно и работает, если в настройках прошивки поставить галочку Enable access from WAN. Вот только при этом допускает подключения с любого ip в интернете. Наша задача на раздающем роутере с внешним айпи z.z.z.z настроить файерволл так, чтобы подключаться к udpxy на порт 1234 мог не кто попало, а только обладатель конкретного айпи 11.22.33.44. Судя по всему, стандартный WAN to LAN filter, доступный через веб-интерфейс прошивки нам не поможет. Вероятно, нужно зайти на роутер через telnet и в скрипт post-firewall добавить некоторые команды iptables, вносящие изменения в firewall. Я не достаточно искушён в таких делах, чтобы это провернуть. Поэтому нужна ваша помощь, что конкретно нужно сделать для нашей цели. А если окажется, что можно обойтись стандартными средствами в настройках прошивки - то будет ещё лучше...
--------
Что до 5-8 Мбит/с - будет недостаточно потому, что для некоторых Full hd каналов http-поток идёт до 15 Мб/сек.
Last edited by Npspacer; 16-10-2014 at 08:22.