【已解决】请教:组播转单播后,外网访问被防火墙阻挡怎么办?
本帖最后由 scxffy 于 2024-1-2 10:31 编辑各位,请教一个问题:IPTV组播数据,在华硕固件后台,开启udpxy转单播后,做了端口映射,但如果开启路由的防火墙,从外网访问失败。
此时关闭防火墙,可以访问,这时,要怎么设置防火的传入规则才能实现:开启防火墙的同时、实现外网访问单播?
具体环境:
1、组播转单播-udpxy代理端口1538已配置,内网访问路由器192.168.50.1的udpxy代理端口1538正常播放;
2、端口映射——外网1538到路由器192.168.50.1的1538已配置;
3、有已配置IPv6、DDNS;
4、此时,若关闭防火墙(包括IPv6防火墙),通过DDNS动态域名,从外网可能正常访问、直播;
5、若开启防火墙(防火墙总开关、及IPv6防火墙子任开一个),外网无法访问;
6、尝试配置传入规则,无果;也许是我配置参数没对。
问题:华硕固件,要怎么配置?才能实现,开启防火墙(包括IPv6防火墙),实现外网访问单播。
——【封贴了】——
1、经测试,最好的解决方案是路由开启V皮N,手机、电脑V皮N回家里,直接看单播。安全、方便。
2、在开启防火墙的条件下,若实在想映射出去,华硕官方、官改、梅林web直接配置的映射转发,感觉应该是有点问题的(特别是ipv6转发规则应该完全没有)。只能添加SSH启动脚本,手动(开机)添加ipv4、ipv6防火墙端口映射规则。
开个virtual**连回家就行了 zdcps 发表于 2023-12-16 10:31
开个virtual**连回家就行了
virtual**连回家,确定可行。 好的,可以节贴了。
基本已确认华硕官方固件号称的专业级防火墙,确实太“专业”——必须手动SSH登录、自己用iptables和ip6tables去配置相关规则。
固件自身只要开启防火墙,在WEB GUI管理里配置所传入规则,应该不会生效。宣传的“专业级防火墙”果然“专业”。不错!!! 你是V4公网还是V6 DDNS的啊? laojiang5956 发表于 2023-12-26 19:39
你是V4公网还是V6 DDNS的啊?
动态公网,v4、v6都有,用的华硕的DDNS,支持v4/v6。 本帖最后由 weixing979 于 2023-12-27 15:52 编辑
以下为ipv4 的,请参考
udpxy 配置为1538端口
我是官改固件,
/koolshare/scripts/base.sh尾部增加
result=$(iptables -nvL |grep 1538)
if [ -z "$result" ]
then
iptables -I INPUT -p tcp --dport 1538-j ACCEPT
fi
weixing979 发表于 2023-12-27 15:47
以下为ipv4 的,请参考
udpxy 配置为1538端口
我是官改固件,
谢谢分享 我的解决方案是使用tailscale组网后,直接播放局域网内的单播地址 本帖最后由 creas_tall 于 2023-12-29 14:09 编辑
@scxffy,大佬,请问一下,如何设置第2步,和第3步,第1步已经完成,并且局域网能多设备看直播;光猫已经桥接,路由器已经能获取到ipv6地址,通过DDNS解析后,通过访问:http://xxxx:8686/status,(其中8686是udpxy代理)一直无法访问,防火墙总开关是关闭的,ipv6防火墙也是关闭的。
通过查询了解到:进入ssh后,socat TCP6-LISTEN:7000,reuseaddr,fork TCP4:192.168.1.1:8686&,可以完成端口映射
本帖最后由 scxffy 于 2024-1-2 10:21 编辑
creas_tall 发表于 2023-12-29 12:41
@scxffy,大佬,请问一下,如何设置第2步,和第3步,第1步已经完成,并且局域网能多设备看直播;光猫已经桥 ...
在外部网络那里,配置端口打开端口转发,配置好要外部转发到路由器IP的udpxy端口。
你防火墙关闭了的,配好端口转发,理论应该完全OK
防火墙ipv6在传入防火墙规则里添加 本地IP ::1 填端口 填协议
然后应用本页设置重启即可。
不用SSH的 请教一下:
2 在开启防火墙的条件下,若实在想映射出去,华硕官方、官改、梅林web直接配置的映射转发,感觉应该是有点问题的(特别是ipv6转发规则应该完全没有)。只能添加SSH启动脚本,手动(开机)添加ipv4、ipv6防火墙端口映射规则。
请问能分享一下ssh启动脚本及ipv4、ipv6防火墙端口映射规则吗?不胜感激 牧童 发表于 2024-1-4 11:50
请教一下:
2 在开启防火墙的条件下,若实在想映射出去,华硕官方、官改、梅林web直接配置的映射转发,感觉 ...
经过几天的研究发现:华硕官方、官改、梅林中的ipv6防火墙是针对下游的,也就是通过路由器上网的设备,而不是路由器本身,所以直接设置防火墙,比如让8080端口有效,那么外网访问http://[路由器ipv6地址]:8080是无法访问的,但是如果你路由器下面的设备创建了一个web服务器,那么通过http://:8080就是可以访问的。
针对你的问题:
以下是我iptv的转发和手动防火墙配置,你可以参考,在路由器这个目录,文件路径:
/jffs/.koolshare/init.d文件夹内创建S23IPTV.sh文件,内容如下
# #!/bin/sh
# #iptv
socat TCP6-LISTEN:7000,reuseaddr,fork TCP4:192.168.1.1:8686&
sleep 1m
ip6tables -I INPUT -p tcp --dport 7000 -j ACCEPT
这样每次开机就会自动增加端口转发,等待1分钟,再开启防火墙。
以上是梅林固件的配置,另外,如果按照以上配置了,启动路由器后,又去修改了路由器的防火墙,然后并且应用了,那么上面防火墙规则就会被覆盖,就不会生效了。 creas_tall 发表于 2024-1-9 19:53
经过几天的研究发现:华硕官方、官改、梅林中的ipv6防火墙是针对下游的,也就是通过路由器上网的设备,而 ...
非常感谢,按照你的脚本可以转发到公网,另外https://www.right.com.cn/forum/thread-8329041-1-1.html有大佬直接提供了插件也可以解决了,不胜感激
页:
[1]