igmp-траффик для iptv

[kotnaton]

В Ubuntu начиная с 8.04 и кончая последней 10.04, не работает IP-TV. То есть работает только 5 минут, потом картинка повисает. Обращение к форуму провайдера, откуда и имею телек, человек объяснил, что... "Вы уверены что не блокируете Igmp Query от нашего queryera ?" iptables по-умолчанию в общих правилах ACCEPT, но решил запретить все, кроме телека:

sudo iptables -P INPUT DROP && iptables -P OUTPUT DROP
iptables -A INPUT -p tcp --destination-port 1000:1500 -j ACCEPT
iptables -A INPUT -p udp --destination-port 1234 -j ACCEPT
iptables -A OUTPUT -p udp --destination 127.0.0.1 --destination-port 1000:1500 -j ACCEPT
iptables -A INPUT -p igmp  -i eth0 -j ACCEPT
iptables -A OUTPUT -p igmp  -o eth0 -j ACCEPT

В числе прочего, приходят пакеты из сети "queryera":

May 17 18:21:46  kernel: [16176.115811] igmpIN=eth0 OUT= MAC= SRC=10.254.64.14 DST=239.64.64.10 LEN=92 TOS=0x00 PREC=0x80 TTL=7 ID=15624 DF PROTO=UDP SPT=42317 DPT=1235 LEN=72

Но поскольку "пять минут" не прекратились, решил уточнить про cеть "queryera":

iptables -A INPUT -p igmp -s 10.0.0.0/8 -i eth0 -j ACCEPT
iptables -A OUTPUT -p igmp -d 10.0.0.0/8  -o eth0 -j ACCEPT

igmp-пакеты вообще перестали приходить, а вместе с ними и картинка. Получается: что либо Ubuntu не видит 10.0.0.0/8 сеть, либо не распознает заданный igmp-протокол с этой сети... Что делать, как наладить этого " нашего queryera" ? Маршрут до 10.254.64.0/24 откуда собственно родом все igmp-пакеты в нашей сети, естественно прописан

[Mam(O)n]

Помнится, что для мультика должен быть маршрут 224.0.0.0/4 поднят. Но могу и ошибаться.

[muted]

$IPT -I FORWARD -s 217.0.119.0/24 -d 224.0.0.0/4 -j ACCEPT
$IPT -I FORWARD -s 193.158.35.0/24 -d 224.0.0.0/4 -j ACCEPT
$IPT -I FORWARD -s 239.35.0.0/16 -d 224.0.0.0/4 -j ACCEPT
$IPT -I INPUT -d 224.0.0.0/4 -j ACCEPT
$IPT -I FORWARD -d 224.0.0.0/4 -j ACCEPT

кусок моего iptables но так же и для трансляции внутрь сети

[Mam(O)n]

Не, я говорил про маршрут. route -n т.е.

Да и вообще убери из iptables все правила на время, чтоб была чистота эксперимента.

[muted]

Не, я говорил про маршрут. route -n т.е.

маршрутов для igmp не нужно никаких, его просто надо пропускать.

[Mam(O)n]

маршрутов для igmp не нужно никаких

Да, похоже, что так и есть, просто предположение было... У меня просто мультика никто не транслирует, негде потестить...

[kotnaton]

Пока решил так: в файл /etc/sysctl.d/10-network-security.conf вношу изменения:

net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0

Но это решение чем-то мне не нравится.

[Mam(O)n]

Вот чего вычитал:

If you turn on IP forwarding, you will also get the rp_filter, which automatically rejects incoming packets if the routing table entry for their source address doesn't match the network interface they're arriving on.

Может всё таки маршрутик то прописать попробовать?