Como liberar portas no slackware e redireciona-las

fusion
(usa Slackware)

Enviado em 07/02/2013 - 23:48h

Olá pessoal, tenho um servidor Slackware com as seguintes configurações: eth0:ip fixo quente (usado pra pppoe), eth1:192.168.2.1, eth2:192.168.0.1. Tenho uma outra maquina na rede onde roda um servidor de imagens(geovision-camera), 192.168.0.2, rodando windows XP.São três situações:
1-redirecionar as portas 3550,4550 e 90 para o ip 192.168.0.2 (cameras) para quando eu tentar acessar as cameras de fora da rede.
2-redirecionar as portas 3550,4550 e 90 para o ip 192.168.0.2 (cameras) para quando eu tentar acessar as cameras de dentro da rede.
3-Liberar as portas 5546-5549 para esse servidor para se conectar a uma central CenterV2 (central de monitoramento).
Usei as seguintes regras:
#liberando portas 5546/47/48/49
iptables -A INPUT -p tcp --dport 5546 -j ACCEPT
iptables -A INPUT -p tcp --dport 5547 -j ACCEPT
iptables -A INPUT -p tcp --dport 5548 -j ACCEPT
iptables -A INPUT -p tcp --dport 5549 -j ACCEPT

#Redirecionamento situação 1, acessar as cameras de for a da rede:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3550 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 3550 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4550 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 4550 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 90 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 90 -d 192.168.0.2 -j ACCEPT

#Redirecionamento situação 2, acessar as cameras de dentro da rede:
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3550 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth2 --dport 3550 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 4550 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth2 --dport 4550 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 90 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i eth2 --dport 90 -d 192.168.0.2 -j ACCEPT

#Redirecionamento CenterV2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5546 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 5546 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5547 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 5547 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5548 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 5548 -d 192.168.0.2 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5549 -j DNAT --to-dest 192.168.0.2
iptables -A FORWARD -p tcp -i ppp0 --dport 5549 -d 192.168.0.2 -j ACCEPT

#compartilhar internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE

#Proxy Transparente
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

Aqui termina o /etc/rc.d/rc.local

Na situação 1, tudo funciona perfeitamente, eu consigo acessar as cameras de fora da rede.
Na situação 2, não funciona o acesso da rede interna.
Na situação 3, o servidor não consegue se conectar ao Center V2.

Rodando um nmap não consigo ver as portas abertas (5546-5549)

nmap -sS -O 127.0.0.1

Starting Nmap 4.60 ( http://nmap.org ) at 2013-02-07 23:43 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1702 closed ports
PORT STATE SERVICE
22/tcp open ssh
37/tcp open time
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn
445/tcp open microsoft-ds
548/tcp open afpovertcp
631/tcp open ipp
953/tcp open rndc
3128/tcp open squid-http
8000/tcp open http-alt

iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:5546 to:192.168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:5547 to:192.168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:5548 to:192.168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:5549 to:192.168.0.2
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.0.0/24 anywhere
MASQUERADE all -- 192.168.2.0/24 anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:5546 to:192.168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:5547 to:192.168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:5548 to:192.168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:5549 to:192.168.0.2
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.0.0/24 anywhere
MASQUERADE all -- 192.168.2.0/24 anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Alguem pode me ajudar ? Desde já agradeço.

djosino
(usa Ubuntu)

Enviado em 08/02/2013 - 09:38h

Na verdade o problema que vc citou é apenas quando alguem que está na 192.168.2.0/24 tenta acessar acesso as portas das cameras certo ?

fusion
(usa Slackware)

Enviado em 08/02/2013 - 09:48h

Na verdade não, to tentando acesso as cameras da rede 192.168.0.0/24, e na segunda ocasiao, tentando acessar as portas de fora da rede (internet) para se conectar ao CEnterV2.

djosino
(usa Ubuntu)

Enviado em 08/02/2013 - 10:09h

isso, era isso que eu tinha entendido... =]

não consegui ver erro nas tuas regras

vc testa de fora da rede e funciona

depois entra em uma máquina da rede 192.168.0.0/24 e não funciona?

fusion
(usa Slackware)

Enviado em 08/02/2013 - 10:55h

Bom, acabei vendo que o acesso interno para as cameras esta ok tbm, entao situação 1 e 2 resolvidas.
Preciso agora liberar as portas para o acesso do windows XP (rodando o sistemas de cameras) para se conectar ao Center V2.