Acesso externo nas câmeras

kellsmala
(usa Outra)

Enviado em 23/07/2014 - 13:16h

Bom dia pessoal,

Preciso da ajuda de vocês, estou com o seguinte problema, meu chefe quer acessar as câmeras de casa, eu fiz de tudo e não consigo, temos o seguinte cenário: Firewall/proxy como compartilhamento de internet ou seja antes da rede obtendo duas placa de rede eth0 e eth1, com distribuição a centos segue abaixo as configurações de Firewall;

#CONFIGURAÇÕES DE REDE (IP PUBLICO)


eth0 Link encap:Ethernet HWaddr 14:DA:E9:F2:C2:D2
inet addr:177.xxx.xxx.xx Bcast:177.220.157.39 Mask:xxx.xxx.xxx.xxx
inet6 addr: fe80::16da:e9ff:fef2:c2d2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28666945 errors:0 dropped:0 overruns:0 frame:0
TX packets:22397909 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2694412168 (2.5 GiB) TX bytes:3428488259 (3.1 GiB)

eth1 Link encap:Ethernet HWaddr 00:08:54:69:19:19
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::208:54ff:fe69:1919/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:77328687 errors:0 dropped:0 overruns:0 frame:0
TX packets:89380720 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3473957969 (3.2 GiB) TX bytes:1749822602 (1.6 GiB)

#CONFIGURAÇÕES DE REGRAS NAT

[root@FIBSER001 ti1]# iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 51250 packets, 3749K bytes)
pkts bytes target prot opt in out source destination
27175 1317K DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.0.251:3389
292K 17M DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.0.1:3128
717 33032 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:192.168.0.1:3128
40728 2170K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.0.1:3128
173 7640 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081 to:192.168.0.1:3128
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:192.168.0.1:3128
55 2568 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.0.1:3128


# IP DAS CÂMERAS 192.168.0.163

PORTA REMOTA:9013
PORTA HTTP: 80
tente as seguinte regras;

iptables -t nat -A PREROUTING -p udp -i eth0 --dport 9013 -j DNAT --to 192.168.0.163
iptables -t nat -A POSTROUTING -d 192.168.0.163 -j SNAT --to 192.168.0.1

Radiske
(usa Slackware)

Enviado em 23/07/2014 - 14:08h

Olá,

Não sei se lhe entendi direito mas tente isso:
iptables -A INPUT -p tcp --dport 9013 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 177.xxx.xxx.xx --dport 9013 -j DNAT --to-destination 192.168.0.163
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.163 --sport 9013 -j SNAT --to 177.xxx.xxx.xx:9013

Caso contrário, remova todas as regras do firewall, adicione somente o nat de direcionamento da porta e veja se está correto.
Pode ter algo a mais no caminho bloqueando sua conexão como um firewall do equipamento ou algo assim.

kellsmala
(usa Outra)

Enviado em 23/07/2014 - 14:38h

Olá amigo abrigado pela ajuda mais não funcionou,
você disse que caso não desse certo erra pra eu remover todas as regras, meu medo é se isso pode impactar o acesso dos usuários na internet?

abaixo estão as regras de PREROUTING

Chain PREROUTING (policy ACCEPT 1051 packets, 73151 bytes)
pkts bytes target prot opt in out source destination
27176 1317K DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.0.251:3389
294K 17M DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.0.1:3128
719 33112 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:192.168.0.1:3128
41287 2198K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.0.1:3128
173 7640 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081 to:192.168.0.1:3128
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:192.168.0.1:3128
55 2568 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.0.1:3128

Como pode ver as portas 80,8080,8081,443, e 21 estão direcionadas na porta 3128 (proxy)
não terá problemas se eu excluir tudo?

peço desculpa pela ignorância mais é que estou começando agora com iptables

Radiske
(usa Slackware)

Enviado em 23/07/2014 - 16:58h

Olá,

Se este é o equipamento por onde passa a internet de todo mundo, removendo as regras, toda a internet irá parar.
Lhe passei uma ideia da porta 9013 pois sua porta 80, de qualquer lugar, está direcionada para o squid (3128).

Tenho diversos acessos e de diversos tipos nas empresas que opero.
Dentre eles tem câmeras, VPN, alarmes monitorados, TS e aplicações diversas. Antes de ficar lhe passando regras e scripts, acho que seria interessante testar somente as regras de acesso somente para as câmeras.
Se possível, teste fora do horário de expediente.
Mas lembre-se de estar acessando direto o equipamento. Não faça os testes remotamente que pode bloquear seu acesso.
Caso funcione, poderá adicionar as regras por etapas e ver onde se encaixa sua regra da câmera, pois, como sabes, o iptables lê as regras em sequencia e se tiver alguma regra anterior fechando sua conexão, irá descobrir.
Ah, ignorância não é problema, pergunte quantas vezes quiser, o importante é que está em busca da saída por conta própria. Assim aprenderá.