Liberando porta no DHCP do linux para visualização de camera de segurança!

lineassis22
(usa Lubuntu)

Enviado em 01/07/2014 - 13:11h

Boa tarde pessoal!

Bom estou meio perdida, não tenho muita experiencia com Linux, e comecei a pouco tempo na empresa que estou trabalhando!

Meu chefe me passou uma tarefa para estar realizando e informou que essa tarefa seria realizada pelo Linux.

Ele instalou uma câmera de segurança em um outro local, fora da nossa rede, e quer que eu configure para que ele consiga visualizar aqui da empresa.

Ele me passou o IP da câmera que seria o:

IP externo: 189.19.209.235

E me passou este IP:

IP interno: 192.168.1.225

Que seria o IP por onde ele visualiza as outras cameras aqui da empresa.
Ele me disse que eu teria que liberar uma porta no DHCP.. Abrir Forward Port, indicando o IP acima p/
Web Acess Port 80
Vide Acess Port 9001

Ja pesquisei, ja conversei com ele e cada vez que ele tenta me explicar eu entendo menos..

Ele me disse que ao acessar ele digitaria o ip da camera:
189.19.209.235:80 e ai direcionaria para a camera..

Poderiam me ajudar, me dar uma luz de como eu devo realizar este procedimento?

Eu dei uma pesquisada no google, e vi alguns topicos que diziam para fazer isso pelo IPTABLES..
Porem nao consegui nenhum resultado.

Alguem poderia por favor, me dar uma ajuda?

Agradeço desde já!!

stefaniobrunhara
(usa CentOS)

Enviado em 01/07/2014 - 15:15h

Bom, dhcp não tem nada haver com isto! O que você precisa fazer é um redirecionamento no router ou no servidor Linux da sua empresa. Como a internet é compartilhada na sua empresa, por um servidor Linux ou um roteador?

lineassis22
(usa Lubuntu)

Enviado em 01/07/2014 - 16:46h

Ola, obrigada por responder..

Então como eu disse, sou meia leiga ainda no assunto..

Aqui na empresa temos o Servidor linux e um Roteador Linksys, porem meu chefe informou que a internet é compartilhada pelo servidor Linux mesmo.

Até verificamos como realizar o procedimento pelo roteador, mas ele disse que isso teria que ser realizado pelo Linux, pois é distribuído a internet por ele.

danilo.mattos
(usa Debian)

Enviado em 01/07/2014 - 17:00h

Bom se eu entendi bem você disse que o seu chefe quer que você configure para ele acessar um circuito de câmera que não está na sua rede correto ? 1ª você não precisar fazer nenhum regra na sua rede e sim na rede onde fica o circuito de câmera para fazer o acesso externo. Caso esse circuito de câmera esteja em uma rede com servidor Linux especificamente um firewall iptables basta utilizar o comando:
iptables -t nat -A PREROUTING -d IP_EXTERNO -p tcp -m tcp --dport PORTA_CAMERA -j DNAT --to-destination IP_DA_REDE_LOCAL. Apenas isso agora caso não tenha um firewall na outra rede vc precisar configurar algum serviço de dns dinamico: NOIP por exemplo.

JJSantos
(usa Gentoo)

Enviado em 01/07/2014 - 21:35h

Seria bom se você, tivesse um topologia lógica da sua rede, fica complicado ajudar as escuras.

lineassis22
(usa Lubuntu)

Enviado em 02/07/2014 - 07:31h

Segue o link com a Topologia logica da rede da empresa!

https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-xpa1/t31.0-8/10454091_452433438226537_563156797211...

danilo.mattos
(usa Debian)

Enviado em 02/07/2014 - 08:03h

lineassis22 veja bem o que você descreveu: Ele instalou uma câmera de segurança em um OUTRO LOCAL, FORA DA NOSSA REDE, e quer que eu configure para que ele consiga visualizar aqui da empresa. Aqui agora é simples interpretação: Se o as câmeras estão em OUTRO LOCAL você não precisar fazer nenhum configuração de iptables na " NOSSA REDE " ok ? Você precisar configurar o firewall na rede onde fica as câmeras. Ou você explicou errado ou ele te explicou errado.

lineassis22
(usa Lubuntu)

Enviado em 02/07/2014 - 08:42h

Danilo agora eu entendi..
Acho que ele deve ter me explicado errado mesmo, pois, ele me informou que eu teria que liberar porta LOL

Obrigada pessoal pela atenção e desculpem, sou leiga no assunto rs

Vou verificar com ele e posto a resposta do caro.

lineassis22
(usa Lubuntu)

Enviado em 02/07/2014 - 08:50h

Danilo no caso como eu teria que realizar a configuração la?
Voces sabem me informar?

Se for atraves do servidor Linux e sem ser atraves do servidor linux?

danilo.mattos
(usa Debian)

Enviado em 02/07/2014 - 08:58h

Ok para você liberar esse acesso externo você precisar fazer um redirecionamento NAT no Iptables.

Utilize essa seguinte regra:
iptables -t nat -A PREROUTING -d IP_EXTERNO -p tcp -m tcp --dport PORTA_CAMERA -j DNAT --to-destination IP_DA_REDE_LOCAL.

Exemplo real:
iptables -t nat -A PREROUTING -d 200.200.200.199 -p tcp -m tcp --dport 8089 -j DNAT --to-destination 192.168.1.125


Agora se você não entendeu nada dessa regra sugiro primeiramente estudar sobre iptables e entender o que cada comando desse significa ok.

Obs: Eu te passei o comando certo para fazer o que você agora precisa verificar como está a estrutura onde fica as cameras como por exemplo: Tem um servidor de firewall iptables já configurado ? Tem ip fixo ? Você sabe localizar o caminho do iptables e inserir a regra ? Sabe reiniciar o iptables ?.


Boa sorte mais não se esqueça caso não tenha conhecimento sobre iptables seria melhor estudar um pouco para facilitar senão vai ficar complicado para você.

Beijo no coração.

lineassis22
(usa Lubuntu)

Enviado em 04/07/2014 - 08:32h

Oi Danilo..
Desculpa a demora, mas estava tendo alguns outros problemas rs

Então, eu procurei no servidor e acho que encontrei o caminho do meu iptables.

Aqui esta:
/etc/init.d/redirecionamento

#!/bin/bash
echo " Apagando qualquer configuracao do Iptables...............[OK]"
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

echo " Iniciando os modulos NAT FTP PPTP GRE .............[OK]"
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_gre
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Ativando Proxy transparente...........[OK]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo " Liberando conexao VPN Externo...........[OK]"
echo " Aceitando protocolo grep................[OK]"
iptables -A INPUT -j ACCEPT -p gre
iptables -A OUTPUT -j ACCEPT -p gre
iptables -A FORWARD -j ACCEPT -p gre
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

echo " Redirecionando Conexao VPN para 192.168.1.6.............[OK]"
#redirecionamento de conexao VPN vinda de qualquer IP para o 192.168.1.6
iptables -t nat -A PREROUTING -p gre -d 189.19.209.235 -j DNAT --to 192.168.1.6

echo " Liberando portas VPN 47 1723 128.................[OK]"
iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 128 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 128 -j ACCEPT

iptables -A FORWARD -p tcp --dport 47 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 128 -i eth0 -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 128 -j ACCEPT


#Redirecionamento das portas para 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 47 -j DNAT --to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 128 -j DNAT --to 192.168.1.6

echo " CONEXAO REDE EXTERNA para acesso remoto ao servidor via terminal server........[OK]"
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 3389 -j DNAT --to 192.168.1.6
iptables -I FORWARD -p TCP --dport 3389 -j ACCEPT

###CONEXAO REDE INTERNA, permite qualquer conexao da rede interna
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT


#Seguranca para a rede
echo " Ativando o IP forward .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Protegendo contra Pings ( ignorando ) .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo " Protegendo contra IP spoofing .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo " Protegendo contra diversos ataques .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo " Protegendo contra bogus responses .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo " Protegendo contra IP synflood .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo " Protegendo contra Pings da Morte .......... [ OK ]"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo " Protegendo contra portscanners, ping of death, ataques DoS, etc. .......... [ OK ]"
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "_BLOCKED_: "
iptables -A INPUT -m state --state INVALID -j DROP
echo " Bloqueando qualquer conex�o que n�o tenha sido permitida acima .......... [ OK ]"
iptables -A INPUT -p tcp --syn -j LOG --log-prefix "_BLOCKED_: "
iptables -A INPUT -p tcp --syn -j DROP
#ignora ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP


# CONEXAO PORTA CAMERA
#iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 8081 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 9001 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 8081 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 9001 -j DNAT --to 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 8081,9001 -j DNAT --to-dest 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 8081,9001 -j DNAT --to-dest 192.168.1.225:9001

iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 8081 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.225 --dport 8081 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 9001 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8081 -i eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 8081 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 9001 -i eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 9001 -i eth0 -j ACCEPT


#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 9002 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9002 -j DNAT --to-dest 192.168.1.226

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 9003 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9003 -j DNAT --to-dest 192.168.1.227

iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 8081 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,9001,9002 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 80,9001,9002 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9001,9002 -j DNAT --to-dest 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --sport 80,9001,9002 -j DNAT --to-dest 192.168.1.226:9002
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --sport 80,9001,9003 -j DNAT --to-dest 192.168.1.227:9003

# Liberando o INPUT externo para o firewall

#iptables -A FORWARD -i eth0 -p tcp --dport 8082 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT
#iptables -A FORWARD -i eth0 -p udp --dport 9001 -j ACCEPT
#iptables -A FORWARD -i eth0 -p udp --dport 9003 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 9003 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp --dport 8081 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 9001 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9002 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9003 -j ACCEPT


#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.225 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.226 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.227 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8083 -j DNAT --to-dest 192.168.1.225:8083
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9001 -j DNAT --to-dest 192.168.1.226:8082
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9003 -j DNAT --to-dest 192.168.1.227:80

iptables -I FORWARD -i eth0 -p udp --sport 8081 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 8081 -j ACCEPT

iptables -t filter -I FORWARD -i eth0 -o eth1 -p tcp --dport 9001 -j ACCEPT
iptables -I FORWARD -i eth0 -p udp --sport 9001 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 9001 -j ACCEPT

iptables -t filter -I FORWARD -i eth0 -o eth1 -p tcp --dport 6050 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 6050 -j ACCEPT

iptables -t filter -I INPUT -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -t filter -I INPUT -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -t filter -I INPUT -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -I INPUT -i eth0 -p udp --sport 9001 -j ACCEPT

iptables -t nat -I PREROUTING -i eth0 -p udp --sport 8081 -j DNAT --to-dest 192.168.1.225:8081
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 8081 -j DNAT --to-dest 192.168.1.225:8081
iptables -t nat -I PREROUTING -i eth0 -p udp --sport 80 -j DNAT --to-dest 192.168.1.227:80
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-dest 192.168.1.227:80


essa linha de comando que voce me passou, teria que inseri-la em qual local?

lineassis22
(usa Lubuntu)

Enviado em 04/07/2014 - 11:08h

Boa tarde.

Seguinte!

Tenho que liberar a porta 80 e 9001

Tenho que redirecionar o IP 189.19.209.235 para 192.168.1.225

Que ai, quando eu colocar o IP da camera: 189.19.209.235:80 ou :9001 vou conseguir visualizar.

Queria saber como seria a linha de comando para realizar isso e onde colocar.

Sei que tenho que fazer um FORWARD certo?

Por favor.. alguem poderia me explicar por gentileza? Me dar uma mãozinha nesse assunto?

Obrigada desde já!!