Fórum Ubuntu Linux - PT
Suporte Técnico => Internet, Redes e Segurança => Tópico iniciado por: Emmers em 01 de Abril de 2011, 17:57
-
Olá,
Postei esse topico para vc experientes em acesso remoto a cameras de segurança usando o no-ip.
Trabalho com uma rede que possui:
um modem (d-link 500b geração 2) usando velox;
um servidor (ubuntu) com duas placas de rede (um ligado ao modem e a outra para o switch de 24 portas);
13 computadores usando windows 7 ultimate ligados a rede pelo switch e,
um dvr vd da intelbras com ip fixo 192.168.1.15;
O problema é que estou a dias tentando acesso remoto ao DVR e nao consigo. Configurei no DVR duas portas(37777 - porta de serviço tcp) e (9191 porta http), configurei, ainda no DVR, o ip do servidor do no-ip dando um comando ping dynupdate.no-ip.com, redirecionei as portas 37777 e 9191 no modem para o ip do DVR, criei tambem o no-ip venanciomajestosa.no-ip.info.
Consigo acessar pela rede interna por 192.168.1.15:9191, mas quando vou acessar remotamente nao dar certo.
O q deve esta acontecendo?Hein? será se tenho que redirecionar as portas no servidor tambem??? ou ta faltando alguma outra coisa?Hein???
-
Olá Emmers,
Esse modem está roteado ou em modo bridge?
-
Olá Emmers,
Esse modem está roteado ou em modo bridge?
está roteado!!
-
Então essa liberação tem que ser feita no modem roteado.
Com um detalhe: no modem, vc tem que liberar pro servidor Ubuntu, e no servidor Ubuntu é que vc libera pra câmera.
Quer simplificar isso? Volte o modem pro modo bridge, e conecte-se no servidor Ubuntu usando o pppoeconf. Assim vc não precisa fazer a liberação no modem.
-
Então essa liberação tem que ser feita no modem roteado.
Com um detalhe: no modem, vc tem que liberar pro servidor Ubuntu, e no servidor Ubuntu é que vc libera pra câmera.
Quer simplificar isso? Volte o modem pro modo bridge, e conecte-se no servidor Ubuntu usando o pppoeconf. Assim vc não precisa fazer a liberação no modem.
mais na verdade, qual dessas formas é a mais recomendada?????
-
Se vc já tem um roteador na rede interna, não precisa do modem roteado. E a maioria dos modems funciona melhor em modo bridge, é uma função a menos, força menos o processador, esquenta menos.
-
Se vc já tem um roteador na rede interna, não precisa do modem roteado. E a maioria dos modems funciona melhor em modo bridge, é uma função a menos, força menos o processador, esquenta menos.
>
tenho um modem roteado ligado a um servidor dhcp e samba com duas placas de rede
nesse caso se mudasse para bridge nao alteraria o funcionamento do dhcp e do samba?
-
Depende. A parte que liga à rede externa mudaria, a parte ligada à rede interna não.
-
queria tentar primeiramente em modo route, eu acho q seria mais arriscado mudar o q ja tem aqui.
peço a sua compreensao e caso nao der certo agente pode tentar em modo bridge.
agora vamo pro q interessa. queria que vc me dissesse como fazer
1º liberar as portas no modem e redirecionar para o servidor;
2º abrir as portas no servidor para o dvr;
3º etc;
-
1º liberar as portas no modem e redirecionar para o servidor;
Essa parte vc vai ter que ver no manual do modem.
2º abrir as portas no servidor para o dvr;
Pra cada porta a ser direcionada, adicione estas duas regras ao firewall:
iptables -t nat -A PREROUTING -p tcp --dport <porta> -i eth0 -j DNAT --to <ip do dvr>
iptables -A FORWARD -p tcp --dport <porta> -i eth0 -j ACCEPT
Mas estou supondo que o firewall do servidor já está configurado.
3º etc;
???
-
eth0 é a interface de rede local estou certo???
se estiver errado me corriga!!!!!
Não sei, em nenhum momento vc disse qual interface está ligada a qual serviço. Mas se não for essa a interface ligada ao modem, é só trocar pela outra.
-
eth0 é a interface de rede local estou certo???
se estiver errado me corriga!!!!!
Não sei, em nenhum momento vc disse qual interface está ligada a qual serviço. Mas se não for essa a interface ligada ao modem, é só trocar pela outra.
é pq me expressei errado. minha pergunta foi para saber justamente qual interface eu irei usar na iptables, a local ou a ligada ao modem certo.
mas agora eu entendi.
-
A que é ligada ao modem, pois é pra direcionar o pacote quando ele entra no servidor, vindo da internet. Nessa hora, ele vai passar pela interface que te liga ao modem.
OBS: Se vc passar o modem pra bridge, a interface de entrada também muda; em vez de eth0/eth1, passa a ser a interface ppp0.
-
zekkerj,
Fiz tudo, entrei no navegador, de um computador da rede local, e aparece a mensagem "o internet explorer nao pode exibir a pagina da web". coloco em diagnosticar e o relatorio informa que
"O computador parece estar configurado corretamente, mas o dispositivo ou o recurso (venanciomajestosa.no-ip.info) não está respondendo"
"Contate o administrador da rede ou o provedor de serviços de Internet"
"O Windows não pode se comunicar com o dispositivo ou o recurso (venanciomajestosa.no-ip.info). O computador ou o serviço que você está tentando alcançar pode estar temporariamente indisponível".
aproveitei e postei o meu firewall do servidor(o firewall fica em um arquivo chamado etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
# COMPARTILHA A CONEXÃO
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# BLOQUEIA PINGS E PROTEGE CONTRA IP SPOOLING E PACOTES INVALIDOS
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
#ABRE PARA A INTERFACE DE LOOPBACK E PARA A INTERFACE DE REDE LOCAL
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
#ABRE PARA AS PORTAS ESPECIFICADAS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#BLOQUEIA AS DEMAIAS CONEXOES, DEIXANDO PASSAR APENAS PACOTES DE RESPOSTA
iptables -A INPUT -p tcp --syn -j DROP
#ACESSO REMOTO A CAMERAS DE SEGURANÇA
iptables -t nat -A PREROUTING -p tcp --dport 9191 -i eth1 -j DNAT --to 192.168.1.15
iptables -A FORWARD -p tcp --dport 9191 -i eth1 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 37777 -i eth1 -j DNAT --to 192.168.1.15
iptables -A FORWARD -p tcp --dport 37777 -i eth1 -j ACCEPT
#LIBERA AS PORTAS DO SAMBA NA REDE
iptables -A INPUT -p tcp -s 192.168.1.0/30 --dport 139 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/30 --dport 139 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/30 --dport 138 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/30 --dport 139 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 139 -j DROP
iptables -A INPUT -p udp -s 0/0 --dport 139 -j DROP
iptables -A INPUT -p udp -s 0/0 --dport 138 -j DROP
iptables -A INPUT -p udp -s 0/0 --dport 137 -j DROP
iptables -A OUTPUT -p tcp -s 192.168.1.0/30 --dport 139 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.0/30 --dport 139 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.0/30 --dport 138 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.0/30 --dport 139 -j ACCEPT
exit 0
-
O firewall tá bacana, mas tá errado.
O que são essas regras de ACCEPT no final, se vc não tem nenhuma regra DROP ou REJECT depois delas, nem política DROP?
Os pacotes que essas regras liberam já iam ser liberados de qualquer jeito... ;)
-
O firewall tá bacana, mas tá errado.
O que são essas regras de ACCEPT no final, se vc não tem nenhuma regra DROP ou REJECT depois delas, nem política DROP?
Os pacotes que essas regras liberam já iam ser liberados de qualquer jeito... ;)
então o que eu posso fazer para melhorar esse firewall???? tambem nao entendo muito de iptables.
-
queria que vc postasse algo para melhorar isso!!!!
-
Emmers, eu não tenho tempo de ver seu firewall por enquanto. Mas você também pode pesquisar um pouco, pra entender o problema do que vc tem hoje, assim vc não fica totalmente dependente dos outros, não?
-
beleza cara!!
eu entendo(vc ta sem tempo)!!!
vou procurar entender melhor o firewall e tentar modificar ou adicionar algumas coisas!!!
e o que vc puder me ajudar eu tambem agradeço!!!!
-
hei cara eu tenho uma duvida??????
eu redireciono as portas do modem para o ip da rede local 192.168.1.1, do servidor, ou para o da conexao da net 192.168.254.1 também do servidor????
pq entenda eu tenho duas conexoes: a rede local e a de conexao com a net!!
-
Modem <---> (IP externo do servidor)
(IP Interno do servidor) <---> Rede local
No modem, vc tem que direcionar pro IP externo do servidor.
-
Vc está testando a partir da rede interna? Isso costuma não dar certo.
-
zekkerj,
Graças a Deus.
Deu certo véi.
Eu fiz os testes fora da rede (de uma lan house) e deu tudo certo. Eu tava perdendo tempo fazendo teste de dentro da rede. Se eu to liberando uma porta para acesso remoto, como é que eu vou acessar de outro jeito!!!
não é bixo não, é fácil.
Primeiramente eu só criei o no-ip venanciomajestosa.no-ip.info. Configurei o DVR para aceitar as configurações (usei o manual de intruções do DVR). Liberei as portas(37777 e 9191) do DVR no modem e redirecionei para o ip externo do servidor(aquele da conexão com a internet, no meu caso 192.168.254.1). Liberei também as portas na ipables do servidor
(iptables -t nat -A PREROUTING -p tcp --dport 9191 -i eth1 -j DNAT --to 192.168.1.15:9191
iptables -A FORWARD -p tcp --dport 9191 -i eth1 -j ACCEPT
(iptables -t nat -A PREROUTING -p tcp --dport 37777 -i eth1 -j DNAT --to 192.168.1.15:37777
iptables -A FORWARD -p tcp --dport 37777 -i eth1 -j ACCEPT
e por ultimo fiz os teste por uma rede externa.
e é só correr pro abraço!!!
valew cara abraço!!!
-
Desculpe desenterrar o tópico, mas preciso saber sobre acesso do dvr pelo linux.
Gostaria de saber no caso de um desktop com linux acessar via web um dvr, meu problema está sendo nos plugins que não estão sendo feito para outros navegadores.
No caso os dvrs são intelbras, e tem aplicativo para ipad e iphone, mas plugins para safari não tem, mas pelo menos o aplicativo foi feito.
Já no linux não estou achando como fazer, nem por aplicativo nem por plugin no navegador, esses dvrs usam o activex, e somente ele.
Alguém tem uma noção de como fazer isso no linux em desktop comum.
Abraço.
-
esses dvrs usam o activex, e somente ele.(...)Alguém tem uma noção de como fazer isso no linux em desktop comum.
Não faz, Activex é exclusivo do Windows. O melhor que dá pra fazer é usar o Internet Explorer via Wine, mas com certeza não há plugin Linux funcional para Activex.
-
esses dvrs usam o activex, e somente ele.(...)Alguém tem uma noção de como fazer isso no linux em desktop comum.
Não faz, Activex é exclusivo do Windows. O melhor que dá pra fazer é usar o Internet Explorer via Wine, mas com certeza não há plugin Linux funcional para Activex.
Obrigado pela resposta.
Torcer para que pelo menos a intelbras faça um aplicativo para visualizar as cameras remotamente.
Abraço.