Redirecionar portas de câmeras

caesarTC
(usa Debian)

Enviado em 30/10/2009 - 15:47h

Pessoal estou batendo cabeça a mais de um mês tentando redirecionar portas para duas máquinas da rede interna que têm câmeras de segurança.

O negócio é o seguinte tenho uma modem speedstream 4200 roteado usando a faixa de rede 10.0.0.0 que está ligado na eth2 do meu servidor que tem o end 10.0.0.100, a interface local, eth1, tem o end 192.168.0.100.

O OS do servidor é o Debian Lenny e nele tenho instalado o squid transparente, bind9, samba com pdc e algumas regras de firewall, todos os ip's são fixos.

Preciso fazer com que as portas 9090,67,68 sejam direcionadas para a máquina 192.168.0.200 e que as portas 4550,5550,81 sejam direcionadas para a máquina 192.168.0.35.

Já tentei usar vários comandos de redirecionamento e nenhum surtiu efeito. Liberei as portas manualmente através do iptables , quando testo elas através do nmap elas retornam filtered isso está certo?

Tentei fazer o redirect desta forma:
#direciono internamente entre as interfaces do server
iptables -t nat -A PREROUTING -p tcp -i eth2 -m multiport --dport 8080,67,68 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 10.0.0.100
#direciono do interface local para o ip 192.168.0.200
iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 8080,67,68 -j DNAT --to-dest 192.168.0.200
iptables -t nat -A POSTROUTING -d 192.168.0.200 -j SNAT --to 192.168.0.100

Já estou desesperado e desde já agradeço qualquer ajuda.

renato_pacheco
(usa Debian)

Enviado em 30/10/2009 - 16:07h

Se o estado dessas portas estão como filtered, significa q o nmap não pode identificar se está aberta ou fechada, ou seja, está filtrada (bloqueada). Portanto vc deve liberar essas portas com a chain INPUT. Ex.:

# iptables -A INPUT -s <REDE> -p tcp --dport 8080 -j ACCEPT

Veja se na própria máquina não consta bloqueios e veja nas regras do firewall tb, ok?

caesarTC
(usa Debian)

Enviado em 30/10/2009 - 19:08h

Ja tentei dessa maneira mas também não funcionou.Abaixo segue o meu arquivo interfaces que tem as regras do meu iptables.
Obrigado pela ajuda.

auto lo
iface lo inet loopback

auto eth2
iface eth2 inet static
address 10.0.0.100
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
gateway 10.0.0.1

auto eth1
iface eth1 inet static
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

pre-up iptables -F
pre-up iptables -X
pre-up iptables -F -t nat
pre-up iptables -X -t nat
pre-up iptables -F -t filter
pre-up iptables -X -t filter
pre-up iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
pre-up iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
pre-up echo 1 > /proc/sys/net/ipv4/ip_forward
pre-up iptables -A INPUT -m multiport -p tcp --dport 3550,3650,4550,5550,6550,67,68,81 -j ACCEPT
pre-up iptables -A OUTPUT -p tcp --dport 1863 -j REJECT
pre-up iptables -A FORWARD -p tcp --dport 1863 -j REJECT

caesarTC
(usa Debian)

Enviado em 06/11/2009 - 13:42h

Pessoal alguém tem mais alguma ideia? Estou ficando sem opções.

Configurei o modem em DMZ e mesmo assim ainda naum funcionou, pra piorar ele abriu meus logs do squid para a internet.

Ele não faz o redirect de portas de jeito nenhum, chego no servidor e de lá não consigo acessar nenhuma máquina local.

Quando dou um ping no DDNS que fica na máquina que tem as cameras ele retorna com sucesso, mas mesmo assim não consigo nenhum acesso as cameras.

Agradeço novamente qualquer ajuda.

gusfreire
(usa Debian)

Enviado em 06/11/2009 - 15:26h

Rodo aqui na empresa um servidor de câmeras também, eu tenho um roteador com o IP 10.32.16.6 minha placa de rede ligado a ele é a eth1 e esta com o ip 10.32.16.1 também configurado em DMZ, para tal acesso eu uso as seguintes regras:

iptables -t nat -A PREROUTING -p tcp --dport 8081 -i eth1 -j DNAT --to 192.168.0.1
iptables -t nat -A PREROUTING -p tcp --dport 4550 -i eth1 -j DNAT --to 192.168.0.1
iptables -t nat -A PREROUTING -p tcp --dport 5550 -i eth1 -j DNAT --to 192.168.0.1

Onde 192.168.0.1 é o ip do meu servidor de câmeras.

danielbsilva2
(usa Debian)

Enviado em 09/11/2009 - 07:05h

resolvi formatando meu servidor que tava com pau, depois que formatei e apliquei essa regra aqui deu certo, que é a própria regra que o kurumin gera ou seja funciona no debian que é a base dele


iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 7070 -j DNAT --to 192.168.1.10
iptables -t nat -A POSTROUTING -d 192.168.1.10 -j SNAT --to 192.168.1.1

no caso eth0 é minha placa de rede que ta no modem que é netvirtua
7070 é a porta do meu servidor de cameras
192.168.1.1 é meu servidor linux de internet
192.168.1.10 é o IP do meu servidor de cameras
quem quiser ver aí acessa http://camerasligvoip.dyndns.org:7070
vai abrir uma telinha pedindo usuário e senha aí, indicando que ta funcionando aqui