redirecionamento para video server

[scarmagnani]

Pessoal, estou de volta pois ainda não consegui resolver meu problema:
Tenho um servidor web rodando sob um win 2000 e coloquei o fedora para servir de firewall. Acontece que não consigo mais exibir as imagens das câmeras que estão na máquina interna.

Uso speed bussiness com ip fixo e sei que o modem está com a porta 80 aberta pois funcionava normalmente com o win.

Estou tentando com as regras que consegui de uns amigos, mas ainda assim não funciona.

# redirecionamento para o servidor web (não está funcionando)
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d $WAN_IP -p tcp --dport 80 -j DNAT --to $FORWARD_IP
iptables -t nat -A POSTROUTING -s $FORWARD_IP -p tcp --sport 80 -j SNAT --to $WAN_IP

# redirecionamento para UltraVNC (funciona corretamente)
iptables -A FORWARD -p tcp --dport 5800 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 5800 -j DNAT --to $FORWARD_IP

O site que deve mostrar as imagens é www.smtca.sp.gov.br se alguem quiser tentar verificar o que está ocorrendo.

Não sei mais o que tentar. :toim:

Se for possível me ajudarem já agradeço.

[1c3m4n]

remove issu:
iptables -t nat -A POSTROUTING -s $FORWARD_IP -p tcp --sport 80 -j SNAT --to $WAN_IP

o apache se conecta na porta 80 mas o trafego dele sai por varias portas, conecte em uma pagina web e abra o iptraf pra monitorar as conexoes, sao varias portas utilizadas dinamicamente

[scarmagnani]

Muito obrigado por me ajudar.

Removi a linha sugerida, mas não estou usando o apache e sim um servidor próprio que venho junto com o aplicato video server que se chama EzWebServer.


Como faço para abrir o iptraf ? Estou trabalhando através do ssh e o mesmo retorna apenas comando não encontrado.

[1c3m4n]

bom 90% dos programas usa uma porta pra se conectar e dps usa outras pra trafegar os dados,

pode ser q o iptraf nao esteja no patch, como vc conectou por ssh ele nao carregou o profile completo, tenta executar source /etc/profile e depois xame o iptraf novamente, se isso nao funcionar vc vai precisar instalar esse pacote

[scarmagnani]

Descobri que o iptraf não estava instalado, mas já resolvi o problema.
Agora o que é que devo monitor? Todas as interf, apenas a eth0 (internet), ou eth1 (rede interna)?

Desculpa as perguntas mas já viu iniciante tem esses probleminhas...

[1c3m4n]

jah q vc ta fazendo um redirecionamento pra uma maquina interna eh bom monitorar todas duma vez, assim vc consegue checar se as regras estao funcionando direito, se aparecer RESET na conexao que deveria ser redirecionada eh pq tem algo de errado no firewall, dps soh pra testar limpe o firewall, deixe soh a regra de masquerade e essa dnat pra verificar

[scarmagnani]

Bom firewall somente com as regras básicas:

porta 22, masquerade e dnat e ainda assim nada

uma observação no iptraf não aparece nda como reset, mas tem uma mensag assim

200.204.67.13

192.168.0.3:80 = 4 314 CLOSED eth1

essa mensagem aparece logo após tentar conectar pelo site.

isso quer dizer que esta a maquina interna esta fechada??

[scarmagnani]

Complementando mensagem q recebo após tentar me conectar diretamente pelo ip do speedy

└200.207.49.187:445 = 0 0 ---- eth0 │
│┌200.207.68.127:4001 = 1 48 S--- eth0 │
│└200.207.49.187:135 = 0 0 ---- eth0 │
│┌200.207.56.246:3203 = 2 96 S--- eth0 │
│└200.207.49.187:135 = 0 0 ---- eth0 │
│┌200.204.67.13:52175 = 6 651 DONE eth1 │
│└192.168.0.3:80 = 4 314 CLOSED eth1 │
│┌200.204.67.13:26752 = 6 648 CLOSED eth0 │
│└200.207.49.187:80 = 4 314 CLOSED eth0 │
│┌200.204.67.13:26752 = 6 648 CLOSED eth1 │
│└192.168.0.3:80 = 4 314 CLOSED eth1

onde 200.204.67.13 é o speedy onde estou
200.207.49.187 é o firewall
192.168.0.3 é o servidor web interno na rede

Obrigado amigo, não sabe o qto esta me ajudando... :good:

[gatoseco]

Amigo vc tem um servidor de cameras na sua rede interna e isso?

[scarmagnani]

Sim tenho um computador com win2000 rodando um servidor web dentro da minha rede interna, e neste existe uma placa de captura de cameras para 4 cameras.

Dentro da rede chamando pelo ip do computador que está com o servidor, tudo funciona normalmente inclusive a exibição das câmeras, mas acontece que tenho que disponibilizar estas imagens na internet.

Tudo funcionava normalmente antes de incluir o linux fazendo o firewall.

Acessava-se pelo site da empresa no link próprio e as imagens eram então direcionadas ao ccomp. cliente que as solicitou.

Se retornar o win2000 direto no speedy tudo volta ao normal mas eu quero colocar o linux como firewall para evitar um séria de aborrecimentoes e aumentar a segurança para rede em geral.

[gatoseco]

A primeira coisa a fazer e saber quais portas esse software usa !!!
Por exemplo eu ja fiz redirecionamentos pra micros como esse que vc ta fazendo e eles utilizavam as portas 42 e 1083 entao eu tinha que abrir essas portas no server linux e logo apos redireciona-las, da uma verificada nisso pode ser que seja isso!!!

Qualquer coisa posta ai !!!

[scarmagnani]

Vocês podem me ensinar como faço para filtrar o tráfego a partir de um determinado ip?

Vou tentar filtrar o tráfego originário de onde estou para o firewall na interface externa e depois para o servidor web na interface interna para ver se consigo descobrir as portas que estão sendo utilizadas.

[scarmagnani]

Pessoal, utilizando o iptraf na eth0 (interface externa) consegui o seguinte resultado:

¦+200.204.67.13:1215 = 4 532 CLOSED eth0 ¦
¦+200.207.49.187:http = 4 296 CLOSED eth0

sendo que 200.204.67.13orta varia entre 1204 e 1216

Dentro do servidor web existe tambem um parâmetro que menciona a endereço DVR 192.168.0.3 e porta 1001.

[gatoseco]

# Abre algumas portas
iptables -A INPUT -p tcp --destination-port 1001 -j ACCEPT

# Redireciona algumas portas
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1001 -j DNAT --to-dest 192.168.0.3:1001
iptables -A FORWARD -p tcp -i eth0 --dport 1001 -d 192.168.0.3 -j ACCEPT

Tenta assim e depois posta ai o resultado!!!

[scarmagnani]

Aí pessoal ainda não funciona. Mesmo com as portas 80 e 1001 abertas e com PREROUTING para as duas ou uma só ainda funciona.

Aparentemente conecta no site mostra os botões do aplicativo mas as imagens das câmeras ainda nada.

Retorna apenas a mensagem de que não é possívle conectar no local do site.

[gatoseco]

Amigo e como te falei esses programas usam duas portas!!! vc tem que descobrir qual e a outra e redireciona-la tambem ai vai funcionar, nao tem nada a ver com porta 80 !!!


Valeu e ate mais!!!

[scarmagnani]

Pessoal rodei um aplicativo no windows 2000 (onde esta capturando as imagens da cameras) e descobri o seguinte:

São duas aplicações rodando para caputrar as imagens:

um servidor web (EzWebServer) rodando na porta 80
Um aplicativo de caputra(Witness) rodando nas portas 1001 e 1009

Essas são as portas locais no windows, agora não sei se as mesmas são de entrada ou saída.

Será que alguem tem alguma idéia para testar???

[gatoseco]

# Abre algumas portas
iptables -A INPUT -p tcp --destination-port 1001 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1009 -j ACCEPT


# Redireciona algumas portas
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1001 -j DNAT --to-dest 192.168.0.3:1001
iptables -A FORWARD -p tcp -i eth0 --dport 1001 -d 192.168.0.3 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1009 -j DNAT --to-dest 192.168.0.3:1009
iptables -A FORWARD -p tcp -i eth0 --dport 1009 -d 192.168.0.3 -j ACCEPT


Tenta ai redirecinar as duas portas que vai dar certo!!!

[Jim]

cara, tenta mudar a porta de 80 para qualquer outra, isso ja facilita...

bem, as portas de captura nao tem nada a ver...

retire todas as regras do seu firewall, deixe apenas o masquerade e a regra de redirecionamento, vamos ver o que ocorre...

[gatoseco]

Sim Jim bem lembrado ja tava me esquecendo poe as regras que citei antes de :

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Deixa so essas regras e testa amigo, se for realmente essas as portas que o seu server das cameras usa tem que funcionar!!! E mais uma vez lembrando que vc precisa redirecionar as duas portas pro mesmo ip, so uma porta vai chamar o redir, mas nao vai puxar as imagens !!!


Valeu espero ter ajudado !!!