https://opennet.ru/openforum/vsluhforumID1/89778.html Задача: Нужно подменять адрес назначения UDP multicast потока приходящего с eth0 и отправлять полученное в eth1.<br><br>Имеем: Сервер с двумя сетевыми интерфейсами. Один входящий, другой исходящий.<br><br>На сервере стоит VLC, который принимает multicast UDP поток<br>IP 77.94.170.4.20000 &gt; 234.5.2.64.20000: UDP, length 1316<br><br>Наша задача заменить адрес 234.5.2.64 на что-то другое. Например 235.8.64.21.<br><br><br>Что делал.<br><br>echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br><br>В абсолютно пустой Iptables добавил правило в соответствии с мануалом <br>iptables -t nat -A PREROUTING -i eth0 -p udp -d 234.5.2.64 -j DNAT --to-destination 235.8.64.21<br><br>Как результат, правило добавилось, но через него ничего не проходит.<br><br># iptables -t nat -nvL<br>Chain PREROUTING (policy ACCEPT 1566K packets, 151M bytes)<br> pkts bytes target prot opt in out source destination<br> 0 0 DNAT udp -- eth0 * 0.0.0.0/0 234.5.2.64 to:235.8.64.21<br><br>Chain POSTROUTING (policy ACCEPT 113 packets, 842 https://opennet.ru/openforum/vsluhforumID1/89778.html#14 Tue, 12 Jul 2011 07:14:53 GMT &gt; Multicat не пробовали покрутить?<br><br>Не успел дописать. <br>Мы с помощью multicat задачу на ура решаем, но про subj в любом случае интересно (естественно: http://lists.netfilter.org/pipermail/netfilter-devel/2005-February/018423.html и прочее уже давно прочитано)<br> https://opennet.ru/openforum/vsluhforumID1/89778.html#13 Tue, 12 Jul 2011 05:05:44 GMT UP! <br>Не подскажете чем закончилось? <br>У нас что-то похожее, только благодаря route и smcroute трафик нормально попадает в PREROUTING (быстро растут счетчики), а вот в POSTROUTING никак.<br>Multicat не пробовали покрутить?<br> https://opennet.ru/openforum/vsluhforumID1/89778.html#12 Tue, 28 Sep 2010 01:39:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Iptables - работает с мультикастом - а NAT работает только с юникастом. <br>&gt;&gt;<br>&gt; Не воспринимайте iptables как монолитную вещь с себе - iptables это вообще<br>&gt; не файрвол, а средство управление функционалом ядра и модулей - NAT<br>&gt; это один из модулей предоствляющий возможнойть работы с адрисами - вот<br>&gt; данный модуль и может работать только с юникаст трафиком, а другие<br>&gt; могут работать и с мультикастом и с чем пожелают.<br>&gt; А вот фразы про то что нет проблем "подписаться" на поток с<br>&gt; компа который не запрашивал этот поток - можно поподробней? что то<br>&gt; слабо себе это предствляеться?<br><br>+1000<br> https://opennet.ru/openforum/vsluhforumID1/89778.html#11 Tue, 28 Sep 2010 01:37:57 GMT <br>&gt; Пункты 3.1, 3.2 - NAT модуль не работает с мультикастом потому что<br>&gt; "... unable to determine conntrack information" - что в принцепе логично<br>&gt; т.к. это мультикасто и он не попадает в conntrack.<br>&gt; Ищите другие способы. Удачи.<br><br>conntrack решает все? убогое мнение.<br> https://opennet.ru/openforum/vsluhforumID1/89778.html#10 Tue, 28 Sep 2010 01:32:52 GMT &gt;[оверквотинг удален]<br>&gt; Имеем: Сервер с двумя сетевыми интерфейсами. Один входящий, другой исходящий.<br>&gt; На сервере стоит VLC, который принимает multicast UDP поток<br>&gt; IP 77.94.170.4.20000 &gt; 234.5.2.64.20000: UDP, length 1316<br>&gt; Наша задача заменить адрес 234.5.2.64 на что-то другое. Например 235.8.64.21.<br>&gt; Что делал.<br>&gt; echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br>&gt; В абсолютно пустой Iptables добавил правило в соответствии с мануалом<br>&gt; iptables -t nat -A PREROUTING -i eth0 -p udp -d 234.5.2.64 -j<br>&gt; DNAT --to-destination 235.8.64.21<br>&gt; Как результат, правило добавилось, но через него ничего не проходит.<br><br>для начала форвард трафика разрешить, который по умолчанию вовсех нормальных дистрах запрещен.<br>&gt;[оверквотинг удален]<br>&gt; destination<br>&gt; Chain OUTPUT (policy ACCEPT 113 packets, 8427 bytes)<br>&gt; pkts bytes target prot opt in <br>&gt; out source <br>&gt; <br>&gt; destination<br>&gt; Судя по времени которое прошло с момента добавления правила и трафику, который<br>&gt; реально проходит через машину, можно https://opennet.ru/openforum/vsluhforumID1/89778.html#9 Fri, 10 Sep 2010 08:05:26 GMT &gt;<br>&gt;http://www.netfilter.org/documentation/FAQ/netfilter-faq-3.html <br>&gt;<br>&gt;Пункты 3.1, 3.2 - NAT модуль не работает с мультикастом потому что <br>&gt;"... unable to determine conntrack information" - что в принцепе логично <br>&gt;т.к. это мультикасто и он не попадает в conntrack. <br>&gt;Ищите другие способы. Удачи. <br><br>А в чем отличие обычного UDP потока от мультикастового ? :)<br>И там и там без всяких сессий... <br> https://opennet.ru/openforum/vsluhforumID1/89778.html#8 Fri, 10 Sep 2010 07:17:41 GMT <br>&gt;А вот фразы про то что нет проблем "подписаться" на поток с <br>&gt;компа который не запрашивал этот поток - можно поподробней? что то <br>&gt;слабо себе это предствляеться? <br><br>Суть в том что то где присутствует описанная в первом сообщении проблема, происходит в "ядре" головной станции, где до подписок абонентов дело еще не доходит.<br>Подписки будут потом и дальше ... А пока сбор потоков.<br> https://opennet.ru/openforum/vsluhforumID1/89778.html#7 Thu, 09 Sep 2010 12:53:18 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Не воспринимайте iptables как монолитную вещь с себе - iptables это вообще <br>&gt;не файрвол, а средство управление функционалом ядра и модулей - NAT <br>&gt;это один из модулей предоствляющий возможнойть работы с адрисами - вот <br>&gt;данный модуль и может работать только с юникаст трафиком, а другие <br>&gt;могут работать и с мультикастом и с чем пожелают. <br>&gt;<br>&gt;А вот фразы про то что нет проблем "подписаться" на поток с <br>&gt;компа который не запрашивал этот поток - можно поподробней? что то <br>&gt;слабо себе это предствляеться? <br><br>http://www.netfilter.org/documentation/FAQ/netfilter-faq-3.html<br><br>Пункты 3.1, 3.2 - NAT модуль не работает с мультикастом потому что "... unable to determine conntrack information" - что в принцепе логично т.к. это мультикасто и он не попадает в conntrack. <br>Ищите другие способы. Удачи.<br> https://opennet.ru/openforum/vsluhforumID1/89778.html#6 Thu, 09 Sep 2010 12:36:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;А вот то что iptables не работает с мультикаст потоками ... это <br>&gt;&gt;может быть объяснением ... <br>&gt;&gt;Хотя какая ему разница ? :) <br>&gt;&gt;<br>&gt;&gt;Какого! работает он с мультикастом! Метки в mangle ставит же... Значит работает! <br>&gt;&gt;<br>&gt;<br>&gt;Iptables - работает с мультикастом - а NAT работает только с юникастом. <br>&gt;<br><br>Не воспринимайте iptables как монолитную вещь с себе - iptables это вообще не файрвол, а средство управление функционалом ядра и модулей - NAT это один из модулей предоствляющий возможнойть работы с адрисами - вот данный модуль и может работать только с юникаст трафиком, а другие могут работать и с мультикастом и с чем пожелают.<br><br>А вот фразы про то что нет проблем "подписаться" на поток с компа который не запрашивал этот поток - можно поподробней? что то слабо себе это предствляеться?<br>