ACESSO EXTERNO DVR/CAMERAS [RESOLVIDO]

leonardocruz
(usa Debian)

Enviado em 27/01/2012 - 16:11h

Pessoal, boa tarde!

Cenário:

Servidor = linux/debian
eth0 = 192.168.1.64 Internet(modem em modo router/dhcp ativo)
eth1 = 192.168.200.1 REDE ligado no switch
DVR = 192.168.200.4 ligado no switch (webport = 80 media port = 8200)

No debian roda o proxy squid transparent com dansguardian

A dúvida é:

O que preciso fazer para ter acesso externo ao dispositivo DVR/Cameras ?
Gostaria se possível de uma resposta detalhada sobre o processo que devo fazer.

Abraço a todos.

andrecanhadas
(usa Debian)

Enviado em 27/01/2012 - 16:27h

Se vc tem que liberar as portas no router e fazer o dmz para seu firewall.
No firewall vc redireciona para a maquina da rede interna a porta 80
EX:
ethx=Placa firewall ligada no router
192.168.x.xxx (Sua maquina Camera)

#Abrir porta no firewall
iptables -A INPUT -i ethx -p tcp -m tcp --dport 80 -j ACCEPT
# NAT (Redirecionamento rede interna)

iptables -t nat -A PREROUTING -i ethx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.x.xxx:80

leonardocruz
(usa Debian)

Enviado em 27/01/2012 - 16:51h

Amigo,

Eu consigo + ou - entender oq vc me passou.
Vc conseguiria me dar um exemplo encaixando os ips respectivos que mostro no meu cenário?

Vou tentar explicar o que penso eu fazer depois de sua explicação.

No modem farei o seguinte: protocolo tcp em um range 8200 a 8200 tradução p/ 80 atribuindo o ip do modem 192.168.1.1 (assim libero a porta 8200 no modem)

e no firewall =

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.200.4:80

Seria isso ?

jairovisks
(usa Debian)

Enviado em 27/01/2012 - 17:02h

Cara eu tenho DVR funcionando com acesso externo aqui na empresa onde trabalho.

Para funcionar eu tive que liberar algumas outras portas além da porta 80.

No meu caso, utilizo a porta 80 em outro serviço, portanto escolhi outra porta pra redirecionar para o DVR, a porta 5630.

Para o DVR funcionar tive que liberar também as portas tcp 3000,3001,3003 e 3007 e udp para a porta 3005.

Ficando da seguinte forma:

/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 5630 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3001 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3003 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3007 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m udp --dport 3005 -j ACCEPT


/sbin/iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 5630 -j DNAT --to-destination 192.168.1.131:80


/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p tcp --dport 3000 -j DNAT --to 192.168.1.131
/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p tcp --dport 3001 -j DNAT --to 192.168.1.131
/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p tcp --dport 3003 -j DNAT --to 192.168.1.131
/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p tcp --dport 3007 -j DNAT --to 192.168.1.131
/sbin/iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p udp --dport 3005 -j DNAT --to 192.168.1.131

Obs.: 192.168.1.131 é o ip interno do servidor DVR e as portas 3001-3007 foram informadas pelo suporte técnico do DVR.

andrecanhadas
(usa Debian)

Enviado em 27/01/2012 - 17:04h

Sim a regra esta correta para sua rede deve ser colocada no seu script que compartilha a internet para continuar se o server for reiniciado

Se quer liberar a porta 80 o range é 80:80

No roteador deve estar como Forwarding

service port http (80) IP 192.168.1.64

andrecanhadas
(usa Debian)

Enviado em 27/01/2012 - 17:20h

Bem provavel que utilize outras portas

Só complementando sua regra poderia ficar assim:

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 5630,3000,3001,3003,3005,3007 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 5630,3000,3001,3003,3005,3007 -j DNAT --to-dest 192.168.1.131

leonardocruz
(usa Debian)

Enviado em 27/01/2012 - 17:34h

E no modem o que tenho q fazer ?

andrecanhadas
(usa Debian)

Enviado em 27/01/2012 - 17:48h

Redirecionar as portas para seu firewall (Forward)

marcelobdm
(usa Debian)

Enviado em 23/01/2013 - 19:20h

Prezados, estou com o mesmo problema... Minha conexão eh via cabo (cabo telecom). Ela entra na eth0 e na eth1, tenho um servidor DHCP com alguns ips fixados e todos com internet. Quando digito no terminal
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 5630,3000,3001,3003,3005,3007 -j ACCEPT

ele retorna com um erro unknown protocol `-m` specified.
Alguem pode me informar o que é isso? Esses scripts que eu coloquei estão certos?

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 5630,3000,3001,3003,3005,3007 -j DNAT --to-dest 192.168.1.131

andrecanhadas
(usa Debian)

Enviado em 23/01/2013 - 20:35h

A regra esta OK veja se esta exatamente como postou pode ter faltado alguma coisinha no que esta no firewall

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 5630,3000,3001,3003,3005,3007 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 5630,3000,3001,3003,3005,3007 -j DNAT --to-dest 192.168.1.131

 

Igonos
(usa Linux Mint)

Enviado em 24/07/2013 - 18:27h

Boa noite pessoal;
Já tentei milhares de regras e anda não consegui abrir para acessar o meu DVR. Sério, tentei mesmo! Por não saber mais onde correr, estou postando pedindo ajuda!

Meu cenário:

Tenho internet via rádio, com IP dinâmico, mas isso não seria problema para o DVR, pois ele tem um servidorzinho de DDNS que funciona bem.
Afirmo isso pois sempre que tiro o servidor linux (Slack 10) que uso pra compartilhar a conexão e coloco um routerzinho da TP-Link com o DMZ habilitado, consigo acessar o DVR de qualquer lugar do planeta. Tanto pelo notebook quanto pelo Android.

Quando tiro o router e coloco o servidor linux, apanho do iptables!

Minha internet entra pela eth1. E minha rede interna (192.168.1.x) está na eth0.
Não tenho nenhuma regra de firewall habilitada (que possa conflitar com a abertura do DVR)
Meu squid está "desligado"

IP do DVR: 192.168.1.50
Porta HTTP: 8080
Porta Servidor: 6036 (não sei o que é isso, mas aparece nas configs. do DVR)
No site do fabricante, ele diz que também usa as portas 3000, 3001, 3003, 3007, 3008, 8800 (TCP) e a porta 3005 (UDP) --> http://www.tecvoz.com.br/v2/faq/AcessoRemoto.html

Sinceramente não sei mais o que fazer. As regras acima da galera não funcionaram para mim (alterei as portas e IP's para o meu caso.)

Algo que surtiu algum efeito foi isso:

iptables -I FORWARD -p tcp -d 192.168.1.50 --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.50:8080
e então repeti a regra para o protocolo udp, e também para todas as portas que citei: 3000, 3001...

Isso fez com que eu conseguisse acessar o DVR da minha rede interna, usando o endereço DDNS (http://mac-address-do-dvr.visionica.info:8080).
Porém, quando tento da casa do vizinho (fora da minha rede interna), não abre a página para fazer o login.

Pessoal, por favor peço ajuda!

Obrigado antecipadamente!

leonardocruz
(usa Debian)

Enviado em 25/07/2013 - 10:23h

Bom dia,

Com as regras a baixo você resolve seu problema.

iptables -A PREROUTING -t nat -p tcp -d [IP-ETH0] --dport 8081 -j DNAT --to [IP-DVR]:8081
iptables -A PREROUTING -t nat -p tcp -d [IP-ETH0] --dport 8200 -j DNAT --to [IP-DVR]:8200
iptables -A PREROUTING -t nat -p tcp -d [IP-ETH0] --dport 15961 -j DNAT --to [IP-DVR]:15961

Obs: Portas padrão do DVR que utilizo 8081, 8200 e 15961. Interface ETH0(Externa)