Redirecionamento de Cameras GeoVision [RESOLVIDO]

Boa tarde,
Estou com um probleminha em minhas regras de redirecionamento.
Temos um server GeoVision xxx.xxx.xxx.xx:8085
Minhas regras de redirecionamento para este servidor.

#Redirecionamento de Cameras
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 3550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 4550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 6550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 8085 -j DNAT --to 192.168.1.64
iptables -I FORWARD -p tcp --dport 3550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 4550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 5550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 6550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 8085 -d 192.168.1.64 -j ACCEPT

Internamente consigo acesso
Mas qnd tento acessar pelo IP externo http://IP_VALIDO):8085 não me dá acesso.
Estou tentando quebrar a cabeça com isso, será que alguem pode me dar uma ajuda?
Ja tentei trocar eth1 por eth0 ppp0, mas nda funciona externamente

Grato

Wellington

adiciona essa linha e testa ai
um tempo atras tive o mesmo problema e resolvi assim


iptables -I FORWARD -p udp --dport 8085 -d 192.168.1.64 -j ACCEPT

Obrigado por responder...

Mas infelizmente não tive sucesso...

A opção -i eth1 está fazendo DNAT apenas do que entra pela eth1, que parece ser a sua rede interna, já que está funcionando, porém quando o acesso é feito pela internet o acesso, muito provavelmente está chegando por outra interface. Nesse caso o mais recomendado é tirar a opção da interface de entrada, já que você deseja permitir o acesso entrante em qualquer interface.

Minha sugestão é que fique dessa maneira:

iptables -t nat -I PREROUTING -p tcp --dport 3550 -j DNAT --to-destination 192.168.1.64:8085
iptables -t nat -I PREROUTING -p tcp --dport 4550 -j DNAT --to-destination 192.168.1.64:8085
iptables -t nat -I PREROUTING -p tcp --dport 5550 -j DNAT --to-destination 192.168.1.64:8085
iptables -t nat -I PREROUTING -p tcp --dport 6550 -j DNAT --to-destination 192.168.1.64:8085
iptables -t nat -I PREROUTING -p tcp --dport 8085 -j DNAT --to-destination 192.168.1.64:8085
iptables -I FORWARD -p tcp --dport 8085 -d 192.168.1.64 -j ACCEPT

Obs.: Pelo que entendi, o servidor só aceita requisições na porta 8085, por isso todos os pacotes recebidos nas portas especificadas estão sendo redirecionados para a 8085 do servidor de cameras. Caso não seja isso que queira, mude a seu critério.

Obrigado por esclarecer minha duvida.


Realmente a regra acima deu certo, mas internamente
http://192.168.1.64:8085 - Acesso interno
http://2XX.1XX.XX.XX7:8085 - Consigo acessar da minha rede, porem nao consigo acesso externo.
Ja coloquei a regra com -p udp

Se alguem mais puder me ajudar....
Meu email é: wzol@fasternet.com.br

Grato

Esse ip válido que você colocou é o da sua interface de rede ou é do roteador/modem?

Se for do roteador/modem você terá que fazer esse redirecionamento no roteador/modem para que funcione, pois as requisições estão chegando nesse endereço e é lá que deve existir a regra dizendo que destino o pacote deve tomar.

Boa tarde amigo,

Consegui resolver com a seguinte regra, trocando o eth1 por ppp0 que é a minha interface de conexao.

iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 3550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 4550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 5550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 6550 -j DNAT --to 192.168.1.64
iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 8085 -j DNAT --to 192.168.1.64
iptables -I FORWARD -p tcp --dport 3550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 4550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 5550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 6550 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p tcp --dport 8085 -d 192.168.1.64 -j ACCEPT
iptables -I FORWARD -p udp --dport 8085 -d 192.168.1.64 -j ACCEPT

Que bom que conseguiu. Mas você deixou as regras que tinham eth1 e ADICIONOU essas novas ou apenas SUBSTITUIU?

Porque se tiver substituido, pode ser que não consiga acesso da rede local agora, pois não há regra no firewall que especifica que um pacote vindo da rede local entrando na interface eth1 seja aceito.

Pronto. Tirei pra ele.

Valeu Josue.