liberar acesso externo para as cameras internas

Iniciado por Said Dias, 01 de Agosto de 2013, 02:03

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

Said Dias

01 de Agosto de 2013, 02:03
Bom dia a todos.

tem um kubuntu 12.04 com duas placas de rede
eth0:WAN velox dhcp
eth1: ip 10.172.13.1
tenho um servidor dhcp
tambem servidor  dns
e apache escutando na porta 80
camera 10.172.13.100:8080
modem velox roteado

como voces perceberam a internet entra pela eth0 e é distribuida para a eth1,

la na eth1 e coloquei um AP (WIRELESS)

todos os funcionários da empresa que pegar a rede sem fio recebe um ip na faixa (10.172.13.x)

meu firewall bloqueia o acesso a internet para todos, e como meu apache esta na porta 80 todas as requisições são enviadas para o apache.

FIREWALL.CONF
Código Selecionar

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 0 -m length --length 30:1100 -m limit --limit 4/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 30:1100 -m limit --limit 4/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp --dport 2250 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,53,67,80,8080,953 -j ACCEPT
-A INPUT -p udp -m multiport --dports 53,67,80,8080,953 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Cria a chain ALTECNETCARD na tabela filter
-N ALTECNETCARD
#
-A FORWARD -s 172.16.0.0/16 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -d 172.16.0.0/16 -s 192.168.1.0/24 -j ACCEPT
#
# Redireciona o resto do FORWARD (trafego entrante e sainte) para ALTECNETCARD
-A FORWARD -j ALTECNETCARD
# Permite acesso livre ao login.altecnetcard.com.br
-A ALTECNETCARD -s 187.17.96.84 -j ACCEPT
-A ALTECNETCARD -d 187.17.96.84 -j ACCEPT
# Bloqueia o resto
-A ALTECNETCARD -j DROP

COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE


# Cria a chain ALTECNETCARD na tabela nat
-N ALTECNETCARD

#
# Redireciona o resto da PREROUTING (trafego sainte) para ALTECNETCARD
-A PREROUTING -i eth1 -j ALTECNETCARD
# Permite acesso livre ao login.altecnetcard.com.br
-A ALTECNETCARD -d 187.17.96.84 -j ACCEPT
-A ALTECNETCARD -d 72.232.181.75 -j ACCEPT
-A ALTECNETCARD -d 72.232.38.195 -j ACCEPT
# Captura pacotes DNS e HTTP
-A ALTECNETCARD -p tcp -m multiport --dports 53,80 -j REDIRECT
-A ALTECNETCARD -p udp -m multiport --dports 53,80 -j REDIRECT
-A ALTECNETCARD -p tcp --dport 3128 -j REDIRECT --to 80
-A ALTECNETCARD -p tcp --dport 8000 -j REDIRECT --to 80
-A ALTECNETCARD -p tcp --dport 8080 -j REDIRECT --to 80

COMMIT


meu apache tem um pagina para o funcionário colocar o login e senha

depois de colocar esses dados meu firewall libera a navegação.

isso tudo eu expliquei como funcionada minha aplicação, agora irei entrar na questao da camera modelo APEXIS (Ip camera Wireless Pan/Tilt)

muito bem tudo funciona... mas preciso colocar esssa camera para funcionar para  acessá-las de fora.

fiz o cadastro no http://ddns.winco.com.br/ baixei o script para linux que atualiza meu ip lá no winco.

coloquei algumas regras de DNAT para testar.

no meu navegador eu coloco pousadadonamorado.ddns.com.br
mas ao invés dele abrir a câmera, ele abre minha pagina de login que os funcionários tem acesso. (como expliquei acima)
a conexão chega ate o meu servidor mas esta indo direto para porta 80

se eu coloco  pousadadonamorado.ddns.com.br:8080 o navegador me retorna (Ops! O Google Chrome não conseguiu se conectar a 189.25.66.240:8080)

Espero que alguem me ajude ai

esse meu firewall esta como original, nao coloquei as mudaram que fiz ja que nenhuma delas funcionou.

zekkerj

#1
01 de Agosto de 2013, 11:13
Citarmodem velox roteado
Nesse caso você tem que definir seu ubuntu como servidor virtual no modem.

Citarno meu navegador eu coloco pousadadonamorado.ddns.com.br
mas ao invés dele abrir a câmera, ele abre minha pagina de login que os funcionários tem acesso. (como expliquei acima)
a conexão chega ate o meu servidor mas esta indo direto para porta 80

se eu coloco  pousadadonamorado.ddns.com.br:8080 o navegador me retorna (Ops! O Google Chrome não conseguiu se conectar a 189.25.66.240:8080)
Está testando da rede interna? Se estiver testando da rede interna, isso é previsível.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Said Dias

#2
01 de Agosto de 2013, 12:02
zekkerj voce sempre esta respondendo minhas questoes, legal isso!!

Seria um Virtual Host do apache2?

e pq isso acontece? poderia dar sua opnião?

Arthur Bernardes

#3
01 de Agosto de 2013, 12:47
Não, não é Virtual Host do Apache.

Todo roteador/modem, oferece uma opção de Virtual Server, ou seja, redirecionar uma determinada porta à um determinado IP.

Na guia de Forwarding, tem a opção "Virtual Server", ali abra a porta 8080 para o IP desejado.

Said Dias

#4
01 de Agosto de 2013, 13:39
é verdade eu sei oq voce esta falando, ja li alguns tropicos sobre isso

mas meu modem Thomson TG508 acho que nao tem essa opcao

Said Dias

#5
01 de Agosto de 2013, 17:03
Boa tarde

fiz a configuracao no modem da velox

fiz essas alterações no meu firewall
Código Selecionar

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 0 -m length --length 30:1100 -m limit --limit 4/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 30:1100 -m limit --limit 4/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp --dport 2250 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,53,67,80,3128,953 -j ACCEPT
-A INPUT -p udp -m multiport --dports 53,67,80,3128,953 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -i eth0 -p tcp --destination-port 5630 -j ACCEPT
#-A INPUT -i eth1 -p tcp -m multiport --dport 5630,3000,3001,3002,3003,3005,3007 -j ACCEPT


-N ALTECNOLOGIC
-A FORWARD -j ALTECNOLOGIC
#-I FORWARD -p tcp -i eth0 --dport 5630 -s 201.49.222.153 -j ACCEPT


-A ALTECNOLOGIC -s 187.17.96.84 -j ACCEPT
-A ALTECNOLOGIC -d 187.17.96.84 -j ACCEPT
-A ALTECNOLOGIC -s 187.17.103.137 -j ACCEPT
-A ALTECNOLOGIC -d 187.17.103.137 -j ACCEPT
-A ALTECNOLOGIC -s 201.49.222.153 -j ACCEPT
-A ALTECNOLOGIC -d 201.49.222.153 -j ACCEPT
-A ALTECNOLOGIC -j DROP

COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A PREROUTING  -p tcp -m multiport --dport 5630,3000,3001,3002,3003,3005,3007 -j DNAT --to 10.172.13.100

-A POSTROUTING -o eth0 -j MASQUERADE
#-A PREROUTING -p tcp -m multiport --dport 5630,3000,3001,3002,3003,3005,3007 -j DNAT --to 10.172.13.100

-N ALTECNOLOGIC

-A PREROUTING -i eth1 -j ALTECNOLOGIC
-A ALTECNOLOGIC -d 187.17.96.84 -j ACCEPT
-A ALTECNOLOGIC -d 187.17.103.137 -j ACCEPT
-A ALTECNOLOGIC -d 201.49.222.153 -j ACCEPT
# Captura pacotes DNS e HTTP
-A ALTECNOLOGIC -p tcp -m multiport --dports 53,80 -j REDIRECT
-A ALTECNOLOGIC -p udp -m multiport --dports 53,80 -j REDIRECT
#-A ALTECNOLOGIC -p tcp -m multiport --dports 8080
#-A ALTECNOLOGIC -p tcp --dport 31280 -j REDIRECT --to 10.172.13.100
#-A ALTECNOLOGIC -p tcp --dport 8000 -j REDIRECT --to 80
-A PREROUTING -s 0/0 -p tcp -m multiport --dport 5630,3000,3001,3002,3003,3005,3007 -j DNAT --to-dest 10.172.13.100:5630

COMMIT


quando acesso pousadadonamorado.ddns.com.br:5630 ele tenta acessar a minha camera, ele resolve o nome e o endereço do navegador fica assim "http://189.25.66.240:5630/main.htm" indicando que ele esta entrando na minha máquina e até tenta abrir o site da camera. mas a tela fica branca e o indicador de processo fica girando no meu chrome como se tivesse tentando acessar a camera.

estou achando que o problema e no meu firewall acho que algo bloqueado o acesso a camera

minha camera esta com ip e 10.172.13.100 na porta 5630

fiz como no tuto http://www.vivaolinux.com.br/topico/Squid-Iptables/ACESSO-EXTERNO-DVR-CAMERAS

obs eth0=WAN e eth1:camera

Arthur Bernardes

#6
01 de Agosto de 2013, 17:19
Acessando o endereço http://189.25.66.240:5630/, caiu numa caixa de login.

Você consegue logar?!!

O seu domínio DDNS tá redirecionando para esse endereço: http://177.103.228.176 e dá inválido.

Said Dias

#7
01 de Agosto de 2013, 18:53
entao nao aparece a tela de login não, so fica tentando abrir.

acho que voce ate pode ver ai clicando no link. agora sobre o dns eu tenho um servidor dns aqui sim.

zekkerj

#8
01 de Agosto de 2013, 22:52
Citação de: Said Dias online 01 de Agosto de 2013, 13:39
é verdade eu sei oq voce esta falando, ja li alguns tropicos sobre isso

mas meu modem Thomson TG508 acho que nao tem essa opcao


É modem ou roteador? Se for roteador, tem q ter a opção.

Talvez esteja numa área "DMZ", procure sobre isso também.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D
Imprimir
Ir para Topo Páginas1
Ações