Форвард портов (для камеры)

[xenoman]

Есть сервер раздающий интернет в конторе на Ubuntu server 9.1

Наружу смотрит IP: 217.15.х.х
В сеть смотрит IP: 192.168.0.1

Поставил камеру DCS-920  IP: 192.168.0.20

Вопрос как теперь сделать так чтобы увидеть камеру из вне?
т.е. при заходе http://217.15.х.х  чтобы отображался 80й порт 192.168.0.20

Заранее спасибо.

[AnrDaemon]

DNAT в INPUT, ACCEPT в FORWARD.
Естественно, на машине должен быть настроен рабочий NAT.

[xenoman]

По-командно подскажи как сделать?


Возможно это поможет:
__________________________________________________________
xenoman@server:~$ sudo iptables-save
[sudo] password for xenoman:
# Generated by iptables-save v1.4.4 on Wed Aug 18 19:16:55 2010
*nat
:PREROUTING ACCEPT [548360:51662916]
:POSTROUTING ACCEPT [124366:8594044]
:OUTPUT ACCEPT [124366:8594044]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Aug 18 19:16:55 2010
# Generated by iptables-save v1.4.4 on Wed Aug 18 19:16:55 2010
*filter
:INPUT ACCEPT [12765624:14640955661]
:FORWARD ACCEPT [11218943:8352376227]
:OUTPUT ACCEPT [9617149:4831302529]
COMMIT
# Completed on Wed Aug 18 19:16:55 2010

[AnrDaemon]

Всё вам разжевывать надо

-t nat -A PREROUTING -p tcp -m tcp --dport $CHOSEN_PORT -j DNAT --to-destination $CAMERA_IP:$CAMERA_PORT
-t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-t filter -A FORWARD -s 192.168.0.0/24 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-t filter -A FORWARD -d $CAMERA_IP -p tcp -m tcp --dport $CAMERA_PORT -j ACCEPT
-t filter -P FORWARD DROP
-t filter -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-t filter -A INPUT -i lo -j ACCEPT
-t filter -A INPUT -p icmp -j ACCEPT
-t filter -P INPUT DROP

Вот только почему маскарад? У тебя что, IP на eth0 меняется постоянно?

[xenoman]

Неа все стандартные, просто на всю сетку интернет раздает чтобы каждый раз не прописывать адреса.
Спасибо попробую сейчас, объемно однако получилось

[AnrDaemon]

Неа все стандартные, просто на всю сетку интернет раздает чтобы каждый раз не прописывать адреса.

Это к чему тут вообще?

Спасибо попробую сейчас, объемно однако получилось

Объёмно, потому что у тебя вообще ничего не было...

[xenoman]

Отлично все заработало.
Спасибо огромное 
Пользователь решил продолжить мысль 18 Августа 2010, 22:30:03:Кстати при перезагрузки слетают на предыдущие правила.
В каком файле они прописаны, где смотреть?
Ну или как сохранить текущие что в память ввожу.

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=99586.0

[xenoman]

Камера то заработала, но:
1) пропал интернет для всех машин внутри сети
2) из вне нельзя зайти по FTP и SSH

Вернул все обратно, надо разбираться с iptables...
В википедии целая книга по ним, где почитать лучше?

[lega911]

Камера то заработала, но:
1) пропал интернет для всех машин внутри сети
2) из вне нельзя зайти по FTP и SSH

Вернул все обратно, надо разбираться с iptables...
В википедии целая книга по ним, где почитать лучше?

а этого в задании не было...

нужно что-то типа такого дописать:

Код: [Выделить]

-t filter -A INPUT -p tcp --dport 21 -j ACCEPT
-t filter -A INPUT -p tcp --dport 22 -j ACCEPT
Пользователь решил продолжить мысль 19 Августа 2010, 19:32:00:

-t filter -A FORWARD -d $CAMERA_IP -p tcp -m tcp --dport $CAMERA_PORT -j ACCEPT

а зачем при указании "-p tcp" ещё "-m tcp", в данном случае второй критерий бесполезен... или нет?

[AnrDaemon]

Без -m tcp не заработает --dport

Камера то заработала, но:
1) пропал интернет для всех машин внутри сети

Не инет пропал, а, вероятно, DHCP и DNS засбоили.
-t filter -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT
Если внутренний интерфейс не eth1, подставь свой.

2) из вне нельзя зайти по FTP и SSH

-t filter -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-t filter -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Вернул все обратно, надо разбираться с iptables...
В википедии целая книга по ним, где почитать лучше?

http://www.docum.org/docum.org/kptd/

[xenoman]

Вот при таких данных все работает, т.е.:
- раздается интернет на сеть 192.168.0.Х (http, icq  и т.п. имеется в виду)
- из вне подключается нормально по FTP  и SSH
- единственное что не работает это камера (192.168.0.20 которая висит на 80м порту).

Вопрос как ее нормально пробросить на 192.168.0.1 чтобы извне можно было нормально видеть через http://внешний IP:80
Может поменьше "запрещать" а только правило для камеры добавить?

Заранее спасибо.

Текущая ситуация:


# Generated by iptables-save v1.4.4 on Thu Aug 19 21:29:54 2010
*nat
:PREROUTING ACCEPT [126:8138]
:POSTROUTING ACCEPT [48:7857]
:OUTPUT ACCEPT [48:7857]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Aug 19 21:29:54 2010
# Generated by iptables-save v1.4.4 on Thu Aug 19 21:29:54 2010
*filter
:INPUT ACCEPT [438:51102]
:FORWARD ACCEPT [725:176324]
:OUTPUT ACCEPT [387:53181]
COMMIT
# Completed on Thu Aug 19 21:29:54 2010

[lega911]

Без -m tcp не заработает --dport

в доке на вики есть примеры:

Код: [Выделить]

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t mangle -I PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 120 --on-port 3129
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
и тп. без указания "-m tcp"
Пользователь решил продолжить мысль 19 Августа 2010, 21:41:26:а вот это у меня на боевом серере работает

Код: [Выделить]

iptables -A INPUT -p tcp --dport 80 -j ACCEPTтоже --dport без -m tcp

[AnrDaemon]

Может поменьше "запрещать" а только правило для камеры добавить?

Может, таки разобраться с iptables? Тем более я уже конкретно сказал, что сделать.

[xenoman]

Закрыл вопрос на много проще:
sudo iptables -t nat -A PREROUTING -p tcp -d 217.15.26.214 --dport 81 -j DNAT --to-destination 192.168.0.20:81
sudo iptables -A FORWARD -i eth0 -d 192.168.0.20 -p tcp --dport 81 -j ACCEPT

Предварительно перевел на 81й порт камеру.