Firewall + Camera IP

fabiomaua
(usa Debian)

Enviado em 08/05/2011 - 10:06h

Ola a todos
Estou com um problema que estou a dias em cima disso, preciso colocar o meu chefe, que está na casa dele, pra ficar vendo a gente trabalhando aqui. A camera, uma Panasonic BL-C1A internamente vai direitinho, mas pela internet não funciona. O meu ip (ficticio) é 200.200.200.200 e o ip da camera é 192.168.1.10. Segue a regra do meu iptables no Debian 4.0.7:

# Libera acesso CAMERA IP
iptables -t nat -A PREROUTING -d 200.200.200.200/32 -j DNAT --to-destination 192.168.1.10
iptables -t nat -A POSTROUTING -s 192.168.1.10 -p tcp -j SNAT --to-source 200.200.200.200

Grato

renato_pacheco
(usa Debian)

Enviado em 08/05/2011 - 14:00h

Suas regras estão um pouco bagunçadas. A primeira coisa q vc tem q v é em q porta seu esquema d câmera utiliza. Depois disso, vc usa a regra pra porta específica. Ex.:

iptables -t nat -A PREROUTING -p tcp --dport xxxx -j DNAT --to-destination 192.168.1.10

Se existir apenas uma saída (uma volta) vc não precisa mencionar o SNAT, mas vai d vc, ok?

O outro lance é liberar o FORWARD pra essa máquina ae. Tipo assim:

iptables -A FORWARD -p tcp --dport xxxx -j ACCEPT

Veja ae e depois fala pra gente.

fabiomaua
(usa Debian)

Enviado em 09/05/2011 - 09:03h

Ola renato_pacheco
Eu não havia pensado no lance do FORWARD, vou fazer uns testes. Outra coisa, acho que a questão está na configuração da camera porque usando essas mesmas regras, porem, apontando para um switch gerenciavel, eu consigo acessar ele pela internet sem problemas.
Só tem uma camera aqui, e ela usa a porta 80 pra funcionar, mas também posso mudar a porta da camera através do setup da camera.

renato_pacheco
(usa Debian)

Enviado em 09/05/2011 - 09:34h

Se ela usa a porta 80, vc pode fazer assim:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80

Assim, quem tiver d fora, acessa a porta 8080 q ele é redirecionado pra porta 80 da sua câmera. Dae é só liberar o FORWARD da porta 8080.

fabiomaua
(usa Debian)

Enviado em 09/05/2011 - 15:58h

Cara...
Realmente não está funcionando com as regras sugeridas. Vou tentar amanhã novamente e ver no que vai dar!

maurolarrat
(usa Ubuntu)

Enviado em 09/05/2011 - 16:50h

Tenho dois serviços de cameras rodando aqui na empresa que trabalho. Vou te mostrar como configurei.
espero que te ajude.

Verifique quais as portas que a camera utiliza. No meu caso, ela utiliza as portas 8010 (para ser exibida via browser), e as portas 5050 e 6050 (para comandos das cameras).

Tenha em mãos o ip que está hospedando na sua intranet o serviço das cameras.

Libere na tabela filter as portas para tráfego de dados nas portas da sua camera. No
meu caso, liberei para os protocolos TCP e UDP, por isso tem duas regras para cada porta.
$INTRA é minha PLACA de intranet (eth1) e $INTER é a minha placa de internet (eth0):

iptables -t filter -I FORWARD -i $INTER -o $INTRA -p tcp --dport 8010 -j ACCEPT
iptables -t filter -I FORWARD -i $INTER -o $INTRA -p udp --dport 8010 -j ACCEPT

iptables -t filter -I FORWARD -i $INTER -o $INTRA -p tcp --dport 5050 -j ACCEPT
iptables -t filter -I FORWARD -i $INTER -o $INTRA -p udp --dport 5050 -j ACCEPT

iptables -t filter -I FORWARD -i $INTER -o $INTRA -p tcp --dport 6050 -j ACCEPT
iptables -t filter -I FORWARD -i $INTER -o $INTRA -p udp --dport 6050 -j ACCEPT


Depois de liberadas as portas, fiz o NAT, na tabela nat. Aqui $NGCAM é o IP da intranet onde fica
hospedado o serviço de camera:

iptables -t nat -I PREROUTING -i $INTER -p tcp --dport 8010 -j DNAT --to-dest $NGCAM
iptables -t nat -I PREROUTING -i $INTER -p udp --dport 8010 -j DNAT --to-dest $NGCAM

iptables -t nat -I PREROUTING -i $INTER -p tcp --dport 5050 -j DNAT --to-dest $NGCAM
iptables -t nat -I PREROUTING -i $INTER -p udp --dport 5050 -j DNAT --to-dest $NGCAM

iptables -t nat -I PREROUTING -i $INTER -p tcp --dport 6050 -j DNAT --to-dest $NGCAM
iptables -t nat -I PREROUTING -i $INTER -p udp --dport 6050 -j DNAT --to-dest $NGCAM


ou seja, iptables , tabela nat, adiciona no inicio da tabela (-I) um pre-roteamento (PREROUTING)
se o pacote entra pela interface eth0 (-i $INTER) com protocolo tcp (-p tcp) e porta de destino 'tal' (--dport 6050) vá para o destino(-j DNAT --to-dest) $NGCAM.

renato_pacheco
(usa Debian)

Enviado em 09/05/2011 - 16:58h

Vc tá contando q a sua câmera tá usando 3 portas diferentes, cada uma usando TCP e UDP. Só se a câmera do rapaz utilizar mais d uma porta para se comunicar, ae pode funcionar.

fabiomaua
(usa Debian)

Enviado em 10/05/2011 - 15:40h

A camera usa apenas uma porta (80 por padrão). Vou estar liberando os protocolos tcp e udp e reportarei os testes. To quase falando pro chefe que como essa camera é a mais simples, ela não permite redirecioar uma porta externa para acessar a porta dela!