Acessar externamente as cameras da empresa

Sill
(usa Debian)

Enviado em 28/04/2010 - 16:58h

Boa Tarde pessoal,

Tenho um servidor (Debian 5.0) que roda o squid + iptables.

Meu diretor precisa acessar as câmeras da empresa na casa dele e não consigo acertar a regra de iptables para que isso funcione.

Vamos supor que meu servidor tenha o IP 192.168.1.1 e que minhas câmeras utilizem a mesma rede dos ips 192.168.1.50 até 100. Como posso liberar o acesso à elas dentro do firewall?

Segue iptables que copiei na ocasião de um colega aqui do forum e roda perfeitamente.

#!/bin/bash

### Passo 1: Limpando as regras ###

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
echo "=================================================="
echo "Cleaning all rules .........................[ OK ]"

# Definindo a Politica Default das Cadeias
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Setting default rules ......................[ OK ]"

### Passo 2: Desabilitar o trafego IP entre as placas de rede ###
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "Setting ip_forward: OFF ....................[ OK ]"

# Configurando a Protecao anti-spoofing
for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > $spoofing
done
echo "Setting anti-spoofing protection ...........[ OK ]"

# Impedimos que um atacante possa maliciosamente alterar alguma rota
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "Setting anti-redirects .....................[ OK ]"

# Utilizado em diversos ataques, isso possibilita que o atacante determine o "caminho" que seu
# pacote vai percorrer (roteadores) ate seu destino. Junto com spoof, isso se torna muito perigoso.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "Setting anti-source_route ..................[ OK ]"

# Protecao contra responses bogus
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "Setting anti-bugus_response ................[ OK ]"

# Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "Setting anti-synflood protection ...........[ OK ]"

### Passo 3: Carregando os modulos do iptables ###
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
echo "Loading iptables's modules .................[ OK ]"
### Passo 4: Agora, vamos definir o que pode passar e o que nao ###
##
#Liberando para rede interna
iptables -A INPUT -p tcp --syn -s xxx.xxx.x.x/16 -j ACCEPT

### LIBERANDO PORTA 80 PARA O APACHE
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 --syn -j ACCEPT
#iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


##Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

# Cadeia de Entrada
# LOCALHOST - ACEITA TODOS OS PACOTES
iptables -A INPUT -i lo -j ACCEPT

# PORTA 80 - ACEITA PARA A REDE LOCAL
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

# PORTA 22 - ACEITA PARA A REDE LOCAL
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo "Setting rules for INPUT ....................[ OK ]"
################################
# Cadeia de Reenvio (FORWARD).
# Primeiro, ativar o mascaramento (nat).
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Activating IP Mask .........................[ OK ]"

# Agora dizemos quem e o que podem acessar externamente
# No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"
# PORTA 3128 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 3128 -j ACCEPT

# Redireciona porta 80 para 3128 (squid)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#PORTA 80 ACESSO EXTERNO (APACHE)
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to xx.xxx.x.x:80

# PORTA 53 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT

# PORTA 5017 - ACEITA PARA A REDE LOCAL (CAT)
iptables -A FORWARD -i eth0 -p udp --dport 5017 -j ACCEPT

# PORTA 110 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT

# PORTA 25 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT

# PORTA 443 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT

# PORTA 21 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT

# PORTA 20 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT

# PORTA 8005 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth0 -p tcp --dport 8005 -j ACCEPT

# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo "Setting rules for FORWARD ..................[ OK ]"

# Finalmente: Habilitando o trafego IP, entre as Interfaces de rede
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "Setting ip_forward: ON .....................[ OK ]"
echo "Finished!! Firewall: OK! ...................[ OK ]"

--------------------------------------------------------------------------

Desde já agradeço.

R.S.P Andre
(usa Debian)

Enviado em 28/04/2010 - 17:05h

Cara aqui na empresa eu também trabalho com essas cameras.

Aqui eu redirecionei de acordo com a porta.
Ex.
iptables -t nat -A PREROUTING -p tcp --dport xx -j DNAT --to 192.168.1.50:xx

xx é a porta usada pelas cameras e o seu ip.

Espero ter ajudado.

ABS

Sill
(usa Debian)

Enviado em 28/04/2010 - 17:41h

Olá R.S.P Andre,

esse comando eu adiciono na cadeia FORWARD né? E depois como faço pra testar? Seria por exemplo: ip telefonica:porta?

Obrigada.

R.S.P Andre
(usa Debian)

Enviado em 28/04/2010 - 17:43h

As cameras estando configurada pra enviar as imagens pela web é só vc acessa o ip telefonica normalmente que será direcionado para as portas que a cemeras esta usando.

Aqui eu simplismente acesso o ip da empresa que vo direto para as cameras.


ABS

Sill
(usa Debian)

Enviado em 28/04/2010 - 17:54h

Pois é, aqui não consigo... Da o seguinte erro: the webpage cannot be displayed .. :0(

R.S.P Andre
(usa Debian)

Enviado em 28/04/2010 - 18:59h

As cameras já estao configurada?

Uma pergunta: Qual a marca da placa de Captura?

Cara comigo essas regras funfarão numa boa.
Tu já abriu as portas para o software da placa?

ABS

sill
(usa Debian)

Enviado em 29/04/2010 - 08:25h

Bom dia,
André, sou mulher rsrs ... mas ñ esquenta já acostumei rsrs
Então as minhas câmeras são TrendNet modelo TV_IP100 (se é isso que quer saber, do contrário não sei)

Quanto a liberação eu apenas coloquei aquela linha de comando no firewall liberando apenas 1 IP camera para testar.

Por exemplo. Vamos supor IP 192.168.1.50 e porta 81

coloquei a regra: iptables -t nat -A prerouting -p tcp --dport 81 -j DNAT --to 192.168.1.50:81

depois disso tentei acessar de um link externo digitando no browser o ip_telefonica:81

Será que existe algo no firewall que está impedindo que a regra funcione?

Obrigada.

nefa
(usa Debian)

Enviado em 29/04/2010 - 09:40h

você criou a nat no modem?

nefa
(usa Debian)

Enviado em 29/04/2010 - 09:48h

o erro: the webpage cannot be displayed
não sei se pode te sido a mesma coisa, aqui acontece
object connect not found

pq acessei pelo firefox, já tentou pelo ie?

R.S.P Andre
(usa Debian)

Enviado em 29/04/2010 - 10:14h

Bom Dia Sra/Senhorita Silvia Leticia.

Desculpe a minha extrema ignorância. Sou meio que sem atenção assim mesmo.

Agora vamos nós.
Pra não ter problemas com o seu proxy retire essa maquina do caminho do proxy.

iptables -A FORWARD -s ip.da.camera -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s ip.da.camera -j RETURN
(Quando eu falo camera me refiro a maquina onde estão as cameras.)
essas regras tu vai por antes das regras que vc esta usando para redirecionar da porta 80 para 3128.

e logo após as regras de redirecionamento vc poe a regras para as cameras.
Ex.
## Direcionando para 3128 ####
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
### Aeitando as portas das Cameras ####
iptables -t nat -A prerouting -p tcp --dport 81 -j DNAT --to 192.168.1.50:81

Tem um pequeno detalhe de alguns softwares, aqui mesmo é assim.
Se vc estiver acessando pela rede interna tente acessar pelo ip de rede local:
Ex. 192.168.1.50
e não precisa indicar a porta não.
Caso esteja de fora da rede use o ip.telefonica.

e de preferência use o I.E pois o Firefox não aceita os controles ActiveX.

Outra coisa vc verificou se as portas que as Cameras vão usar estao abertas.
Caso não de uma verificada http://meuip.datahouse.com.br/ferramentas-de-rede.php

ABS.

sill
(usa Debian)

Enviado em 29/04/2010 - 11:52h

Oi gente, desculpem a demora, vou tentar as vossas dicas e logo posto o resultado.

Obrigada.

R.S.P Andre
(usa Debian)

Enviado em 29/04/2010 - 15:38h

Olá senhoritaa!!

E ai como anda os testes ai??

Algum resultado??

Se tiver sucesso não deixe de postar a solução ai p nós!!


ABS ^^