现有的防火墙能力无法放行组播数据

jsq2627

相关反馈：

• https://club.fnnas.com/forum.php?mod=viewthread&tid=62890
• https://club.fnnas.com/forum.php?mod=viewthread&tid=62996
• https://club.fnnas.com/forum.php?mod=viewthread&tid=62510
• https://club.fnnas.com/forum.php?mod=viewthread&tid=59064&page=1&authorid=149872
• https://github.com/stackia/rtp2httpd/issues/455
• https://github.com/stackia/rtp2httpd/issues/457

IGMP 和组播的工作模式比较特别，目前 fnOS 的防火墙功能无法编写出能放行组播流量的规则。下面用一个例子来说明，本机地址为 10.235.134.163，IPTV 组播频道的地址为 239.81.0.216:4056，以下是从加入 IGMP 组到收到组播媒体流整个过程的抓包

（本机 IGMP 加组和媒体服务器发送媒体包，它们的目标地址都是组播地址，并不是大家习以为常的 client/server 模式，A 发给 B，B 发给 A）

用户通常只知道频道的组播地址，并不知道运营商实际发送媒体包的源服务器地址（实际上不同的 IPTV 频道可能还有不一样的源服务器）。而目前 fnOS 防火墙仅支持根据来源 IP 和目标端口来放行流量，导致几乎无法写出能放行组播的规则来。

实际上对于组播，需要的是基于目标 IP 的规则，例如目标 IP 匹配 239.81.0.0/24 则放行。

飞牛运营同学

感谢反馈，我们已关注到防火墙组播问题，目前正在跟进中。