Маршрутизация igmp трафика (IPTV) для ER-12: как корректно настроить правила? | Ubiquiti форум UBNT: инструкции, настройка

Маршрутизация igmp трафика (IPTV) для ER-12: как корректно настроить правила?

CbIP

новичок
29 Янв 2021
1
0
3
36
Всем привет!

Я недавно обновил оборудование и теперь в качестве роутера использую EdgeRouter ER-12. Я не полный новичок в *nix системах, но вот с настройкой фаервола и маршрутизации сталкиваюсь почти что в первый раз. Как раз и взял ER-12, что бы изучить эту тему. Конфигурация моей сети такова:
  1. switch0 (порты eth0-eth7) используются для локальной сети. С ними же работает первый DHCP сервер (10.10.10.0/24)
  2. в порт eth8 подключена ТВ-приставка. Для этого порта используется второй DHCP сервер (10.10.11.0/24)
  3. в порт eth9 подключен кабель провайдера.
Я хочу сделать так, что бы весь igmp трафик, который приходит от провайдера на eth9, сразу перенаправлялся на ТВ приставку (eth8) и не попадал в LAN (switch0).
Что я сделал. Я выполнил вот эти инструкции для настройки igmp proxy: https://help.ui.com/hc/en-us/articles/204961854-EdgeRouter-IGMP-Proxy
Затем я создал 4 правила для фаерволла, объединив информацию из нескольких источников в Интернете:
Код:
IPv4 Firewall "WAN_IN":

Active on (eth9,IN)

rule  action   proto     packets  bytes
----  ------   -----     -------  -----
10    accept   all       1099547  1043650546
  condition - state RELATED,ESTABLISHED

30    accept   udp       139      85488
  condition - daddr base-address.mcast.net/4

40    accept   igmp      0        0

50    drop     all       0        0
  condition - state INVALID

10000 drop     all       0        0

--------------------------------------------------------------------------------
IPv4 Firewall "WAN_LOCAL":

Active on (eth9,LOCAL)

rule  action   proto     packets  bytes
----  ------   -----     -------  -----
10    accept   all       202      19717
  condition - state RELATED,ESTABLISHED

20    accept   udp       139      85488
  condition - daddr base-address.mcast.net/4

30    accept   igmp      107      3424

40    drop     all       73       4456
  condition - state INVALID

10000 drop     all       1328     64134
Какие у меня вопросы и сомнения:
  1. Нужны ли мне правила 20 и 30 в секции WAN_LOCAL? Ведь эта секция предназначается для входящего трафика, который идёт в роутер. Мне же нужно, что бы igmp трафик шёл сразу в eth8.
  2. У правил 30 в WAN_IN и 20 в WAN_LOCAL указан параметр "destination address". Я думаю, нужно указывать "source address", т.к. трафик поступает с 224.0.0.0/4, а не уходит туда. При этом, ТВ приставка с такими правилами работает.
  3. Куда делось правило 20 в разделе WAN_IN? Его нет и в интерфейсе...
  4. Правильно ли я понимаю, что при такой конфигурации фаерволла весь igmp трафик всё-равно попадает также и в LAN (switch0), поскольку указанные правила распостраняются и на switch0, и на eth8? Если это так, то как мне сделать, что бы igmp трафик шёл только на интерфейс eth8? Создать ещё группы правил и разделить их: для swith0 и для eth8? Если так - то как выполнить такую настройку?
Буду рад любым советам!