1. Forum
  3. dieSchmids-Forum
  5. Allgemeine Fragen zu Computern
  7. Softwareforum
  9. Firewall (Linux) für A1 TV (mit VLC)

normal Frage Firewall (Linux) für A1 TV (mit VLC)

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Expert Boarder
  • Expert Boarder
Mehr
17 Sep 2018 03:41 #76720 von Vindobona
Vindobona antwortete auf Firewall (Linux) für A1 TV (mit VLC)

auf jeden fall muss der host/station/client der jeweiligen multicast gruppe beitreten (join request)
verwaltet natürlich vom router
aber dazu braucht er die info wer den stream benötigt
wenn das nicht klappt wird der stream nach ein paar sekunden abgebrochen
der client ist ja keiner gruppe beigetreten und empfängt daher keinen stream
ist ja sinn der sache um den multicast stream nicht im ganzen netz zu verteilen
zusammen mit igmp snooping (aktiviert auf den lan ports des routers)


Oh!
Wieder was gelernt.
Schön langsam versteh ich dann auch Multicast.


Aber ja, die Streams brachen nach etwa einer Minute immer ab!



Nun gut, dann habe ich mal IGMP konfiguriert.
$ sudo cat /etc/ufw/before.rules | grep -C 1 igmp
# allow IGMP for A1 TV (for IP multicast)
-A ufw-before-input -p igmp -d 239.0.23.0/24 -j ACCEPT
-A ufw-before-input -p igmp -d 239.2.16.0/24 -j ACCEPT
-A ufw-before-input -p igmp -d 239.2.24.0/24 -j ACCEPT
-A ufw-before-output -p igmp -d 239.0.23.0/24 -j ACCEPT
-A ufw-before-output -p igmp -d 239.2.16.0/24 -j ACCEPT
-A ufw-before-output -p igmp -d 239.2.24.0/24 -j ACCEPT

Auch UDP-Rules hatte ich entsprechend angelegt:
sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
239.0.23.0/24 8208:8209/udp ALLOW       Anywhere                  
239.2.16.0/24 8208:8209/udp ALLOW       Anywhere                  
239.2.24.0/24 8208:8209/udp ALLOW       Anywhere
sudo iptables -L -n | grep -C 2 8208
Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            239.0.23.0/24        multiport dports 8208:8209
ACCEPT     udp  --  0.0.0.0/0            239.2.16.0/24        multiport dports 8208:8209
ACCEPT     udp  --  0.0.0.0/0            239.2.24.0/24        multiport dports 8208:8209

Anm.: Port 8208 für RTP und der nächste (ungerade Port), 8209, für RTCP.
Mit den drei /24-Netzen sollten die IPs aller Sender (keine Zusatzpakete) abgedeckt sein.

Nach Reboot leider keine Besserung: Die Streams brechen immer noch nach etwa einer Minute ab.

Ich habe dann noch die UDP-Rules großzügiger gestaltet (keine Port-Einschränkung, auch Outgoing-Rules angelegt [obwohl Outgoing generell erlaubt ist]) aber leider immer noch keine Besserung. Aber eigentlich dürfte es auch gar nicht an den UDP-Rules liegen, sondern wohl eher am IGMP.




Jetzt habe ich die Firewall einmal deaktiviert.
$ sudo ufw status
Status: inactive

Ohne Firewall scheint es zu funktionieren (läuft jetzt seit ca. 5 Minuten).
Möglicherweise sind die /24-Netze zu klein.
Also werde ich dann mal den Traffic aufzeichnen.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Expert Boarder
  • Expert Boarder
Mehr
17 Sep 2018 05:27 - 17 Sep 2018 05:35 #76721 von Vindobona
Vindobona antwortete auf Firewall (Linux) für A1 TV (mit VLC)
Ach, wie blöd kann man (ich) sein!
:silly:


Es war aber ein Sniffing notwendig, bis ich gecheckt habe, dass mein Linux-Rechner nicht auf die IGMP-Membership Query vom Pirelli geantwortet hat. Mein Windows-PC hingegen hat brav geantwortet.
Erst da hab ich gecheckt, dass hier eine Multicast-Adresse im Spiel ist. Dieser Multicast-Bereich war es doch auch, der im Beitrag von Einars blogg in der /etc/ufw/before.rules erlaubt wurde.
[Ich hab ursprünglich angenommen, dass dies ein spezifischer Bereich für den Anwendungsfall von Einar sei und daher hier die IP-Adressen von A1 eingetragen. :kw ]

Also schnell den Fehler korrigiert und auch die UDP-Rules wieder eingeschränkt (nur die drei /24-Netze, nur Ingoing und nur die beiden Ports für RTP und RTPC).

Läuft nun alles Bestens!
Super!
Danke!!


PS: RTCP bzw. Port 8209 (= 8208 + 1) wird scheinbar überhaupt nicht verwendet. Egal, ich lass meine Rules mal so.
PS2: Sollte A1 einmal eine neue/weitere IP-Adresse (außerhalb dieser drei /24-Netze) verwenden, vergesse ich sicher die FW-Rules anzupassen ...
Letzte Änderung: 17 Sep 2018 05:35 von Vindobona.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
  1. Forum
  3. dieSchmids-Forum
  5. Allgemeine Fragen zu Computern
  7. Softwareforum
  9. Firewall (Linux) für A1 TV (mit VLC)
Ladezeit der Seite: 0.139 Sekunden
Powered by Kunena Forum