es un DVR o camaras IP
El 18 de marzo de 2014, 14:20, Francesc Guitart fguitart@gmx.com escribió:
Hola,
El 18/03/2014 15:43, César Martinez escribió:
Hola Ramón gracias por responder, el nat que hago esta funcionando bien porque tengo otros nateos con el mismo esquema y funcionan bien, lo que sospecho es que mi firewall esta bloqueando algo más que necesitan estas cámaras pero no logro detectar que es, por eso queria ver si existe alguna forma como el tail -f ver en el momento que me trato de conectar que bloquea mi firewall, cabe recalcar que localmente en mi red red se ven perfecto las cámaras con la ip:puerto, pero local
Para ver los paquetes descartados por el firewall. En CentOS creo que por defecto es /var/log/messages:
grep -i drop /var/log/messages
También puedes filtrar por origen o puerto y ver que pasa:
grep direccion_origen /var/log/messages
También puedes crear una regla iptables para que logee ciertos paquetes:
iptables -I INPUT -j LOG --log-prefix "Denied: " --log-level 7
Añade puertos y/o direcciones IP entre INPUT y -j LOG para afinar. Luego busca con grep en /var/log/messages la cadena Denied:
Finalmente y como ya te han sugerido puedes ver en tiempo real que pasa con tcpdump. Como se trata de un gateway habrá bastante tráfico. Puedes filtrar lo que tcpdump te muestra con comandos como:
tcpdump -i ethX host A.B.C.D and port 1111 tcpdump -i ethX host A.B.C.D and port (1111 or 2222)
Prueba también cambiando "host" por "dst" o "src" o si quieres buscar un rango de puertos cambiando "port" por "portrange 1111-1200".
Gracias
Saludos
Yo us el siguiente esquema:
*IPT="iptables"*
*#IP Publica del Servidor (eth0: interfaz de la ip publica) *
*IP1=$(ifconfig eth0|grep "inet "|sed -e "s/addr://"|awk '{print
$2}')#IP
Servidor Local IP2=192.168.30.1#IP de red interna
IP3=192.168.30.28############################PUERTOINT=928PUERTOLAN=80$IPT
-t filter -I FORWARD -p tcp --dport ${PUERTOLAN} -j ACCEPT$IPT -I
FORWARD
-m tcp -p tcp -s $IP3 --sport ${PUERTOLAN} -j ACCEPT $IPT -I INPUT -p
tcp
-d $IP1 --dport ${PUERTOINT} -j ACCEPT$IPT -t nat -I PREROUTING -p tcp
-d
$IP1 --dport ${PUERTOINT} -j DNAT --to $IP3:${PUERTOLAN}$IPT -t nat -I POSTROUTING -p tcp -d $IP3 --dport ${PUERTOLAN} -j SNAT --to-source
$IP2 *
En el ejemplo que te paso para ver remotamente la cámara debes pner en
tu
explorador: http://IPPUBLICA:928, lo cual te hace el direccionamiento
a la
ip 192.168.30.28, Espero te sirva.
Saludos
--
Ramón Macías Zamora Tecnología, Investigación y Desarrollo www.rks.ec - www.raykasolutions.com Guayaquil - Ecuador msn: ramon_macias@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel: 593-8-0192238 Tel: 593 4 6044566
http://www.raykasolutions.com/
WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
SERVIDORES
LINUX, SOPORTE.
2014-03-18 9:22 GMT-05:00 César Martinez <cmartinez@servicomecuador.com
:
Saludos a todos, sigo aún sin poder usar el nat en las cámaras, de pronto hay alguna forma de poder ver que puerto esta tratando de
acceder
cuando digito la_ip:elpuerto de esta forma vería en mi firewall que es lo que esta cerrando
Gracias
Un saludo a todos los listeros aquí molestando con otro problema que tengo, en una empresa tienen unas cámaras ip marca Dlink las mismas
que
funcionan localmente bien, en mi servidor linux he realizado el
nateo de
la ip y los puertos que funcionan local para verlas desde fuera de la oficina, contacte a la gente de Dlink y me dicen que posiblemente sea porque estas cámaras necesitan el protocolo upnp para que funcionen desde fuera, he investigado en google y no logro encontrar nada al respecto como poder natear o abrir este protocolo, agradezco a todos
los
que puedan ayudarme con mi problema aqui el resumen
Ip de 1 cámara 192.168.0.8 puerto de esta cámara: 1111
#camaras $IPTABLES -A INPUT -p tcp --dport 1111 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 1111 -j ACCEPT
Aquí abres el puerto 1111 para TCP y UDP y luego solo haces el DNAT y
el
FORWARD para el TCP. Te falta el UDP si es que realmente es necesario.
##Nat Cámaras $IPTABLES -A PREROUTING -t nat -i $EXTERNALIF -p tcp -d $EXTERNALIP --dport 1111 \ -j DNAT --to 192.168.0.8:1111 $IPTABLES -A FORWARD -i $EXTERNALIF -p tcp -d 192.168.0.8 --dport
1111
-j ACCEPT
Esta regla nunca hará match porqué en la $EXTERNALIF el destino del paquete nunca será -d 192.168.0.8. Prueba cambiando 192.168.0.8 por $EXTERNALIP
Saludos
Saludos.
César
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Francesc Guitart _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es