У меня есть система с ограничительным брандмауэром, который будет участвовать в многоадресной рассылке UDP (отправка и получение). Какой хороший набор правил позволяет брандмауэру хоста это разрешить?
Это моя текущая настройка с использованием ipf в Solaris:
# Enable UDP multicasting
pass out log quick on INTERFACE proto udp from HOSTIP/32 to 224.0.0.0/4
pass in log quick on INTERFACE proto udp from 224.0.0.0/4 to HOSTIP/32
# Enable multicast ping discovery
pass in log quick on INTERFACE proto icmp from any to 224.0.0.1/32
# Allow pings out.
pass out quick on INTERFACE proto icmp all keep state
Ожидается, что хост будет участвовать ровно в одной группе многоадресной рассылки. Могу ли я заменить "224.0.0.0/4" этой конкретной группой (например, GROUP / 32), не вызывая проблем?
Есть ли еще какие-то возможности, которые нужно создать?
Да, вы должны иметь возможность использовать конкретный адрес многоадресной рассылки вместо 224.0.0.0 без проблем, если у вас есть жестко запрограммированный адрес многоадресной рассылки. Мы делаем это для наших установок многоадресной рассылки без проблем. Что касается «что еще я должен открыть?», Это зависит от того, что вы используете - например, если у вас есть какой-то одноадресный трафик, который управляет многоадресными потоками, тогда вам нужно разрешить этому трафику добраться туда, где это тоже идет. Очевидно, не зная, что вы делаете, я не могу дать вам никаких советов по этому поводу.