[CentOS-es] Ayuda Nateo + upnp

César Martinez cmartinez en servicomecuador.com
Mar Mar 18 17:38:16 UTC 2014


Gracias son cámaras ips Dlink modelo DSC-930

César

> es un DVR o camaras IP
>
>
> El 18 de marzo de 2014, 14:20, Francesc Guitart <fguitart en gmx.com> escribió:
>
>> Hola,
>>
>> El 18/03/2014 15:43, César Martinez escribió:
>>> Hola Ramón gracias por responder, el nat que hago esta funcionando bien
>>> porque tengo otros nateos con el mismo esquema y funcionan bien, lo que
>>> sospecho es que mi firewall esta bloqueando algo más que necesitan estas
>>> cámaras pero no logro detectar que es, por eso queria ver si existe
>>> alguna forma como el tail -f ver en el momento que me trato de conectar
>>> que bloquea mi firewall, cabe recalcar que  localmente en mi red red se
>>> ven perfecto las cámaras con la ip:puerto, pero local
>>>
>> Para ver los paquetes descartados por el firewall. En CentOS creo que
>> por defecto es /var/log/messages:
>>
>> grep -i drop /var/log/messages
>>
>> También puedes filtrar por origen o puerto y ver que pasa:
>>
>> grep direccion_origen /var/log/messages
>>
>> También puedes crear una regla iptables para que logee ciertos paquetes:
>>
>> iptables -I INPUT -j LOG --log-prefix "Denied: " --log-level 7
>>
>> Añade puertos y/o direcciones IP entre INPUT y -j LOG para afinar. Luego
>> busca con grep en /var/log/messages la cadena Denied:
>>
>> Finalmente y como ya te han sugerido puedes ver en tiempo real que pasa
>> con tcpdump. Como se trata de un gateway habrá bastante tráfico. Puedes
>> filtrar lo que tcpdump te muestra con comandos como:
>>
>> tcpdump -i ethX host A.B.C.D and port 1111
>> tcpdump -i ethX host A.B.C.D and port \(1111 or 2222\)
>>
>> Prueba también cambiando "host" por "dst" o "src" o si quieres buscar un
>> rango de puertos cambiando "port" por "portrange 1111-1200".
>>
>>> Gracias
>> Saludos
>>
>>>> Yo us el siguiente esquema:
>>>>
>>>>
>>>> *IPT="iptables"*
>>>>
>>>> *#IP Publica del Servidor (eth0: interfaz de la ip publica) *
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> *IP1=$(ifconfig eth0|grep "inet "|sed -e "s/addr://"|awk '{print
>> $2}')#IP
>>>> Servidor Local IP2=192.168.30.1#IP de red interna
>>>>
>> IP3=192.168.30.28############################PUERTOINT=928PUERTOLAN=80$IPT
>>>> -t filter -I FORWARD -p tcp --dport ${PUERTOLAN} -j ACCEPT$IPT -I
>> FORWARD
>>>> -m tcp -p tcp -s $IP3 --sport ${PUERTOLAN} -j ACCEPT $IPT -I INPUT -p
>> tcp
>>>> -d $IP1 --dport ${PUERTOINT} -j ACCEPT$IPT -t nat -I PREROUTING -p tcp
>> -d
>>>> $IP1 --dport ${PUERTOINT} -j DNAT --to $IP3:${PUERTOLAN}$IPT -t nat -I
>>>> POSTROUTING -p tcp -d $IP3 --dport ${PUERTOLAN} -j SNAT --to-source
>> $IP2 *
>>>>
>>>> En el ejemplo que te paso para ver remotamente la cámara debes pner en
>> tu
>>>> explorador: http://IPPUBLICA:928, lo cual te hace el direccionamiento
>> a la
>>>> ip 192.168.30.28, Espero te sirva.
>>>>
>>>> Saludos
>>>>
>>>>
>>>>
>>>> --
>>>>
>>>>
>>>>
>>>> Ramón Macías Zamora
>>>> Tecnología, Investigación y Desarrollo
>>>> www.rks.ec - www.raykasolutions.com
>>>> Guayaquil - Ecuador
>>>> msn:    ramon_macias en hotmail.com
>>>> skype:  ramon_macias
>>>> UserLinux# 180926 (http://counter.li.org)
>>>> Cel:    593-8-0192238
>>>> Tel:    593 4 6044566
>>>>
>>>> <http://www.raykasolutions.com/>
>>>>
>>>>
>>>> WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES,
>> SERVIDORES
>>>> LINUX, SOPORTE.
>>>>
>>>>
>>>> 2014-03-18 9:22 GMT-05:00 César Martinez <cmartinez en servicomecuador.com
>>> :
>>>>> Saludos a todos, sigo aún sin poder usar el nat en las cámaras, de
>>>>> pronto hay alguna forma de poder ver que puerto esta tratando de
>> acceder
>>>>> cuando digito la_ip:elpuerto de esta forma vería en mi firewall que es
>>>>> lo que esta cerrando
>>>>>
>>>>> Gracias
>>>>>
>>>>>
>>>>>>> Un saludo a todos los listeros aquí molestando con otro problema que
>>>>>>> tengo, en una empresa tienen unas cámaras ip marca Dlink las mismas
>> que
>>>>>>> funcionan localmente bien, en mi servidor linux he realizado el
>> nateo de
>>>>>>> la ip y los puertos que funcionan local para verlas desde fuera de la
>>>>>>> oficina, contacte a la gente de Dlink y me dicen que posiblemente sea
>>>>>>> porque estas cámaras necesitan el protocolo upnp para que funcionen
>>>>>>> desde fuera, he investigado en google y no logro encontrar nada al
>>>>>>> respecto como poder natear o abrir este protocolo, agradezco a todos
>> los
>>>>>>> que puedan ayudarme con mi problema aqui el resumen
>>>>>>>
>>>>>>> Ip de 1 cámara 192.168.0.8
>>>>>>> puerto de esta cámara: 1111
>>>>>>>
>>>>>>> #camaras
>>>>>>> $IPTABLES -A INPUT -p tcp --dport 1111 -j ACCEPT
>>>>>>> $IPTABLES -A INPUT -p udp --dport 1111 -j ACCEPT
>>>>>> Aquí abres el puerto 1111 para TCP y UDP y luego solo haces el DNAT y
>> el
>>>>>> FORWARD para el TCP. Te falta el UDP si es que realmente es necesario.
>>>>>>
>>>>>>> ##Nat Cámaras
>>>>>>> $IPTABLES -A PREROUTING -t nat -i $EXTERNALIF -p tcp -d $EXTERNALIP
>>>>>>> --dport 1111 \
>>>>>>>                             -j DNAT --to 192.168.0.8:1111
>>>>>>> $IPTABLES -A FORWARD -i $EXTERNALIF -p tcp -d 192.168.0.8 --dport
>> 1111
>>>>>>> -j ACCEPT
>>>>>>>
>>>>>> Esta regla nunca hará match porqué en la $EXTERNALIF el destino del
>>>>>> paquete nunca será -d 192.168.0.8. Prueba cambiando 192.168.0.8 por
>>>>>> $EXTERNALIP
>>>>>>
>>>>>>> Saludos
>>>>>> Saludos.
>>>>>>
>>>>>>> César
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> Francesc Guitart
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



Más información sobre la lista de distribución CentOS-es