ufw port forward

0

2

В общем есть система где есть eth0 который смотрит в мир. И есть eth2 который смотрит в локальную сетку. В локальной сетке есть ip камеры которые прекрасно смотрятся извне через тунеливание портов через ssh. После двухдневного траха был выкинут Нетворк-менеджен и настроено все через /etc/network/interfaces Но все равно ничего понять не могу. На внутренней сетке висит камера по адресу 10.54.0.21 которая отвечает на порте 554. Порт видит nmap, telnet итд. я пытаюсь отмапить порт из локальной сетки во внешний мир на порт 5000 через ufw. Добавил в before.rules

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp  --dport 5000 -j DNAT --to-destination 10.54.0.21:554 
COMMIT

открыл порт

sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
5000                       ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
5000 (v6)                  ALLOW       Anywhere (v6)

Пробую достучаться, фигвам!

Ссылка

←	Не подключается к PPTPD с внешнего IP

Автодополнение zsh для vim scp

→

А камера знает про «внешний мир» ?

pavel38 ★
(06.05.15 21:29:46 MSK)

Ответ на: комментарий от pavel38 06.05.15 21:29:46 MSK

не понял про «внешний мир». Если затунелить 554 порт через ssh то ее видно.

Artem-Dnepr
(06.05.15 21:32:39 MSK) автор топика

Ответ на: комментарий от Artem-Dnepr 06.05.15 21:32:39 MSK

Хорошо, полный вывод

iptables -L -v ; iptables -t nat -L -v

Про внешний мир, камере инет доступен ?

pavel38 ★
(06.05.15 22:14:01 MSK)
Последнее исправление: pavel38 06.05.15 22:17:11 MSK (всего исправлений: 1)

Ответ на: комментарий от pavel38 06.05.15 22:14:01 MSK

sudo iptables -t nat -L -v Chain PREROUTING (policy ACCEPT 1925 packets, 102K bytes) pkts bytes target prot opt in out source destination 9 540 DNAT tcp — eth0 any anywhere XXXXXXXXXXXXX.tvcom.net.ua tcp dpt:5000 to:10.54.0.21:554 0 0 DNAT tcp — eth0 any anywhere anywhere tcp dpt:5000 to:10.54.0.21:554

Chain INPUT (policy ACCEPT 472 packets, 27744 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5234 packets, 329K bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 5285 packets, 332K bytes) pkts bytes target prot opt in out source destination

Artem-Dnepr
(06.05.15 22:20:03 MSK) автор топика

Ответ на: комментарий от Artem-Dnepr 06.05.15 22:20:03 MSK

Нет правила в POSTROUTING для полноценного NAT, На память сейчас не вспомню так как пишу с мобилки, но это быстро гуглиться http://webhamster.ru/mytetrashare/index/mtb0/28

pavel38 ★
(07.05.15 00:24:00 MSK)

Ссылка

Ответ на: комментарий от Artem-Dnepr 06.05.15 22:20:03 MSK

iptables -t nat -A POSTROUTING -o eth0 -s 10.54.0.0/24 -j MASQUERADE

для твоего случая

pavel38 ★
(07.05.15 07:17:07 MSK)

Ответ на: комментарий от pavel38 07.05.15 07:17:07 MSK

iptables

sudo iptables -F
sudo iptables --delete-chain
sudo iptables -A FORWARD -m state -p tcp -d 10.42.0.21 --dport 4000 --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j DNAT --to-destination 10.42.0.21:554

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             10.42.0.21           state NEW,RELATED,ESTABLISHED tcp dpt:4000

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Не пашет. :(

Artem-Dnepr
(07.05.15 08:18:45 MSK) автор топика

Ответ на: iptables от Artem-Dnepr 07.05.15 08:18:45 MSK

добавил

sudo iptables -t nat -A POSTROUTING -o eth0 -s 10.42.0.0/24 -j MASQUERADE iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             10.42.0.21           state NEW,RELATED,ESTABLISHED tcp dpt:4000

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Тоже не работает. В тоже время

ssh  -L7554:10.42.0.21:554 логин@ай-пи пашет наура.

Artem-Dnepr
(07.05.15 08:24:05 MSK) автор топика

Ответ на: комментарий от Artem-Dnepr 07.05.15 08:24:05 MSK

Так, давай сделаем проще, дай мне полный вывод

ifconfig -a ;route -n ; iptables -t nat -L -v

в таблицу filter цепочку FORWARD можно вообще ничего не писать, у тебя и так по умолчанию там accept. В таблице NAT должно быть что то типа этого

Chain PREROUTING (policy ACCEPT 1925 packets, 102K bytes) pkts bytes target prot opt in out source destination 
9 540 DNAT tcp  — eth0 any anywhere XXXXXXXXXXXXX.tvcom.net.ua tcp dpt:5000 to:10.54.0.21:554 0 0 DNAT tcp  — eth0 any anywhere anywhere tcp dpt:5000 to:10.54.0.21:554

Chain INPUT (policy ACCEPT 472 packets, 27744 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5234 packets, 329K bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 5285 packets, 332K bytes) pkts bytes target prot opt in out source destination 
    0     0 MASQUERADE  all  --  *      eth0    10.54.0.0/24         0.0.0.0/0

свои ip-адреса подставишь сам , а то у тебя в одном месте 10.54.0.21 а в другом 10.42.0.21

И да, не забудь про

echo 1 >/proc/sys/net/ipv4/ip_forward

pavel38 ★
(07.05.15 09:27:28 MSK)

Ссылка

Ответ на: комментарий от Artem-Dnepr 07.05.15 08:24:05 MSK

Проще выполни вот это

sudo iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j DNAT --to-destination 10.42.0.21:554 ; iptables -t nat -A POSTROUTING -o eth0 -s 10.42.0.21 -j MASQUERADE ; echo 1 >/proc/sys/net/ipv4/ip_forward

Это 100% работоспособный вариант для твоей камеры.

pavel38 ★
(07.05.15 09:30:47 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не подключается к PPTPD с внешнего IP

Admin

Автодополнение zsh для vim scp

→

iptables

Похожие темы