[CentOS-es] Ayuda Nateo + upnp
Pablo Alberto Flores
pabflore en uchile.cl
Mar Mar 18 17:32:23 UTC 2014
es un DVR o camaras IP
El 18 de marzo de 2014, 14:20, Francesc Guitart <fguitart en gmx.com> escribió:
> Hola,
>
> El 18/03/2014 15:43, César Martinez escribió:
> > Hola Ramón gracias por responder, el nat que hago esta funcionando bien
> > porque tengo otros nateos con el mismo esquema y funcionan bien, lo que
> > sospecho es que mi firewall esta bloqueando algo más que necesitan estas
> > cámaras pero no logro detectar que es, por eso queria ver si existe
> > alguna forma como el tail -f ver en el momento que me trato de conectar
> > que bloquea mi firewall, cabe recalcar que localmente en mi red red se
> > ven perfecto las cámaras con la ip:puerto, pero local
> >
>
> Para ver los paquetes descartados por el firewall. En CentOS creo que
> por defecto es /var/log/messages:
>
> grep -i drop /var/log/messages
>
> También puedes filtrar por origen o puerto y ver que pasa:
>
> grep direccion_origen /var/log/messages
>
> También puedes crear una regla iptables para que logee ciertos paquetes:
>
> iptables -I INPUT -j LOG --log-prefix "Denied: " --log-level 7
>
> Añade puertos y/o direcciones IP entre INPUT y -j LOG para afinar. Luego
> busca con grep en /var/log/messages la cadena Denied:
>
> Finalmente y como ya te han sugerido puedes ver en tiempo real que pasa
> con tcpdump. Como se trata de un gateway habrá bastante tráfico. Puedes
> filtrar lo que tcpdump te muestra con comandos como:
>
> tcpdump -i ethX host A.B.C.D and port 1111
> tcpdump -i ethX host A.B.C.D and port \(1111 or 2222\)
>
> Prueba también cambiando "host" por "dst" o "src" o si quieres buscar un
> rango de puertos cambiando "port" por "portrange 1111-1200".
>
> > Gracias
>
> Saludos
>
> >> Yo us el siguiente esquema:
> >>
> >>
> >> *IPT="iptables"*
> >>
> >> *#IP Publica del Servidor (eth0: interfaz de la ip publica) *
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >> *IP1=$(ifconfig eth0|grep "inet "|sed -e "s/addr://"|awk '{print
> $2}')#IP
> >> Servidor Local IP2=192.168.30.1#IP de red interna
> >>
> IP3=192.168.30.28############################PUERTOINT=928PUERTOLAN=80$IPT
> >> -t filter -I FORWARD -p tcp --dport ${PUERTOLAN} -j ACCEPT$IPT -I
> FORWARD
> >> -m tcp -p tcp -s $IP3 --sport ${PUERTOLAN} -j ACCEPT $IPT -I INPUT -p
> tcp
> >> -d $IP1 --dport ${PUERTOINT} -j ACCEPT$IPT -t nat -I PREROUTING -p tcp
> -d
> >> $IP1 --dport ${PUERTOINT} -j DNAT --to $IP3:${PUERTOLAN}$IPT -t nat -I
> >> POSTROUTING -p tcp -d $IP3 --dport ${PUERTOLAN} -j SNAT --to-source
> $IP2 *
> >>
> >>
> >> En el ejemplo que te paso para ver remotamente la cámara debes pner en
> tu
> >> explorador: http://IPPUBLICA:928, lo cual te hace el direccionamiento
> a la
> >> ip 192.168.30.28, Espero te sirva.
> >>
> >> Saludos
> >>
> >>
> >>
> >> --
> >>
> >>
> >>
> >> Ramón Macías Zamora
> >> Tecnología, Investigación y Desarrollo
> >> www.rks.ec - www.raykasolutions.com
> >> Guayaquil - Ecuador
> >> msn: ramon_macias en hotmail.com
> >> skype: ramon_macias
> >> UserLinux# 180926 (http://counter.li.org)
> >> Cel: 593-8-0192238
> >> Tel: 593 4 6044566
> >>
> >> <http://www.raykasolutions.com/>
> >>
> >>
> >> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
> SERVIDORES
> >> LINUX, SOPORTE.
> >>
> >>
> >> 2014-03-18 9:22 GMT-05:00 César Martinez <cmartinez en servicomecuador.com
> >:
> >>
> >>> Saludos a todos, sigo aún sin poder usar el nat en las cámaras, de
> >>> pronto hay alguna forma de poder ver que puerto esta tratando de
> acceder
> >>> cuando digito la_ip:elpuerto de esta forma vería en mi firewall que es
> >>> lo que esta cerrando
> >>>
> >>> Gracias
> >>>
> >>>
> >>>>> Un saludo a todos los listeros aquí molestando con otro problema que
> >>>>> tengo, en una empresa tienen unas cámaras ip marca Dlink las mismas
> que
> >>>>> funcionan localmente bien, en mi servidor linux he realizado el
> nateo de
> >>>>> la ip y los puertos que funcionan local para verlas desde fuera de la
> >>>>> oficina, contacte a la gente de Dlink y me dicen que posiblemente sea
> >>>>> porque estas cámaras necesitan el protocolo upnp para que funcionen
> >>>>> desde fuera, he investigado en google y no logro encontrar nada al
> >>>>> respecto como poder natear o abrir este protocolo, agradezco a todos
> los
> >>>>> que puedan ayudarme con mi problema aqui el resumen
> >>>>>
> >>>>> Ip de 1 cámara 192.168.0.8
> >>>>> puerto de esta cámara: 1111
> >>>>>
> >>>>> #camaras
> >>>>> $IPTABLES -A INPUT -p tcp --dport 1111 -j ACCEPT
> >>>>> $IPTABLES -A INPUT -p udp --dport 1111 -j ACCEPT
> >>>> Aquí abres el puerto 1111 para TCP y UDP y luego solo haces el DNAT y
> el
> >>>> FORWARD para el TCP. Te falta el UDP si es que realmente es necesario.
> >>>>
> >>>>> ##Nat Cámaras
> >>>>> $IPTABLES -A PREROUTING -t nat -i $EXTERNALIF -p tcp -d $EXTERNALIP
> >>>>> --dport 1111 \
> >>>>> -j DNAT --to 192.168.0.8:1111
> >>>>> $IPTABLES -A FORWARD -i $EXTERNALIF -p tcp -d 192.168.0.8 --dport
> 1111
> >>>>> -j ACCEPT
> >>>>>
> >>>> Esta regla nunca hará match porqué en la $EXTERNALIF el destino del
> >>>> paquete nunca será -d 192.168.0.8. Prueba cambiando 192.168.0.8 por
> >>>> $EXTERNALIP
> >>>>
> >>>>> Saludos
> >>>> Saludos.
> >>>>
> >>>>> César
> >>> _______________________________________________
> >>> CentOS-es mailing list
> >>> CentOS-es en centos.org
> >>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
>
> --
> Francesc Guitart
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es