Доступ к камере с другой подсети через шлюз

[pyyramid]

Здравствуйте уважаемые! Все никак не могу получить доступ к камере с другой подсети. Нужно чтоб комп шефа (Win XP SP3 172.62.34.100) получил доступ через веб морду к видеорегистратору (192.168.1.7). Пробовал искать в нете, прокидал порты через iptables - не выходит. Роуты на Windowsе тоже прописывал, однажды регистратор начал пинговаться но на веб морду так и не попал.  Для наглядности прикладываю сокращенную карту сети. Прокси слушает порт 1112 и отдает на 1212.



Заранее благодарю за помощь.

[Stealch]

Код: [Выделить]

iptables -A POSTROUTING -p tcp -s 172.62.34.100 -d 192.168.1.7 --dport 8080 -j MASQUERADE
iptables -A FORWARD -p tcp -d 192.168.1.7 --dport 8080 -j ACCEPT
Как-то так...

[pyyramid]

По первому правилу выдает

Код: [Выделить]

iptables: No chain/target/match by that nameАдреса правильные, со шлюза пингуются оба.

[Stealch]

Это я кое что напутал... сплю уже...

Код: [Выделить]

iptables -A POSTROUTING -p tcp -s 172.62.34.1 -d 192.168.1.2 --dport 8080 -j MASQUERADE
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 8080 -j ACCEPT
И на виндовой машине в командной строке

Код: [Выделить]

route -p add 192.168.1.7 mask 255.255.255.255 172.62.34.1 metric 1

[pyyramid]

Чето Вы напутали, 192.168.1.2 в тоже подсети что и камера и имеет беспроблемный доступ.

Пробовал

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 172.62.34.100 -p tcp --dport 8080 -j MASQUERADE
iptables -A FORWARD -p tcp -d 192.168.1.7 --dport 8080 -j ACCEPT
Правила записались, но всеравно не пингуется. Роуты на клиенте прописаны. Ушел на перезагрузку, чтоб обновить настройки iptables...


Пользователь решил продолжить мысль 10 Марта 2015, 13:28:35:Действующие правила:

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Tue Mar 10 12:25:18 2015
*filter
:INPUT ACCEPT [1961:895403]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2208:1015008]
:fail2ban-apache - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-vsftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j fail2ban-vsftpd
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-apache -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-vsftpd -j RETURN
COMMIT
# Completed on Tue Mar 10 12:25:18 2015

[fisher74]

_http://www.mediafire.com/view/28w9ys7e37sgtov/Документ1.jpg

Заранее благодарю за помощь.

Помог бы... но не судьба. Картинку не вижу.
Выложите по правилам форума, поможем.

[pyyramid]

Помог бы... но не судьба. Картинку не вижу.
Выложите по правилам форума, поможем.

Исправил.

[fisher74]

покажите таблицы маршрутизации камеры и компа шефа

[AnrDaemon]

Начнём с простого вопроса - на камере localnet lock стоит?

[pyyramid]

покажите таблицы маршрутизации камеры и компа шефа

Код: [Выделить]

C:\Documents and Settings\*>ROUTE PRINT
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...10 bf 48 88 b6 bf ...... Realtek PCIe GBE Family Controller
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
    10.80.130.222  255.255.255.255    172.62.34.253   172.62.34.205       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      172.62.34.0    255.255.255.0    172.62.34.205   172.62.34.205       20
    172.62.34.205  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.62.255.255  255.255.255.255    172.62.34.205   172.62.34.205       20
        224.0.0.0        240.0.0.0    172.62.34.205   172.62.34.205       20
  255.255.255.255  255.255.255.255    172.62.34.205   172.62.34.205       1
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      МетрикаКак сделать на Linuxе не знаю.

Начнём с простого вопроса - на камере localnet lock стоит?

Камеры подключены к дешевому китайскому видеорегистратору (4-х канальная приставка). В настройках только прописал адрес и маску, больше ничего не трогал.

В сети есть еще 1 прокси для выхода в корпоративную подсеть, все определяется скриптом автоматической настройки. Определенные IP адреса заворачивает на прокси 172.62.34.253 (тоже Ubuntu) и дальше в корпоративку, весь остальной хлам на шлюз и в нет 172.62.34.1. Тоесть 192.168.1.7 автоматом заворачивается в нет на 172.62.34.1. Постоянных маршрутов на клиентах нету.

Забыл добавить, сетка с доменом и своим ДНС сервером (172.62.34.1) шлюз в сети но не в домене.
Пользователь решил продолжить мысль [time]10 Март 2015, 15:43:37[/time]:так будет понятнее


Есть другой комп с двумя сетевыми (192.168.1.Х + 172.62.34.Х), отуда через браузер есть доступ на веб морду регистратора.

Все действия проверяю на другом компе где нету постоянных маршрутов, скрипт автоматической настройки прокси отсутствует.

[fisher74]

ну тогда ... забиваем костыли...\
На компе шефа (странно что дефолтного шлюза нет)

Код: [Выделить]

route -p add 192.168.1.7 172.62.34.1
На шлюзе

Код: [Выделить]

sudo sysctl -w net.ipv4.ip_forward=1Но должны понимать, что траффик между инферфейсами начнёт ходить весь, потому надо бы фильтровать
что-то типа

Код: [Выделить]

sudo iptables -P FORWARD DROPно что там ещё ходит, нам неизвестно. Если единичку до сего момента на закатывали, то дропать можно смело.
но не забыть разрешить настраиваемый траффик

Код: [Выделить]

sudo iptables -A FORWARD -s 172.62.34.100 -d 192.168.1.7 -p tcp --dport 8080 -j ACCEPT
и его (и не только его) обратный ход? добавив правило первым в цепочке

Код: [Выделить]

sudo iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Если на камере нет шлюза по умолчанию как такового(а точно его нет?), то добавляем

Код: [Выделить]

sudo iptables -A POSTROUTING -p tcp -s 172.62.34.100 -d 192.168.1.7 -p tcp --dport 8080 -j SNAT --to-source 192.168.1.2

[pyyramid]

Если на камере нет шлюза по умолчанию как такового(а точно его нет?)

С камерой ошибся, извиняюсь.


Значит последнее правило не нужно?

[fisher74]

если гетвей смените на 192.168.1.2, то не надо.

Но,надо бы ещё посмотреть параноидальность камеры... Вдруг просмотр заперт в локалке, как тут выше писали

[pyyramid]

Но,надо бы ещё посмотреть параноидальность камеры

С другого компа где 2 сетевые (192.168.1.Х + 172.62.34.Х) захожу через браузер на 192.168.1.7:8080 бес проблем. Также работает просмотр через програмку NetDvr но на порт 9000. Буду пробовать без смены шлюза на камере, а то главный офис потеряет картинку и будет мне мозг парить.

[fisher74]

Кстати, да...  я посмотрел картинку и понял, что нужно ещё 9000 порт разрешать... только вот tcp или udp...

Если ещё и головняк смотрит, то, конечно, не надо менять шлюз.

А вот на ADSL-роутере, если он в зоне Вашей отвественности, можно добавить маршрут, тогда и натить не нужно будет.
Пользователь решил продолжить мысль 10 Марта 2015, 15:20:47:

С другого компа где 2 сетевые (192.168.1.Х + 172.62.34.Х)

Так он в пределах локалки смотрит, так что не довод.
А вот

главный офис потеряет картинку

Как раз больше подходит к возможности смотреть с другой подсети