LINUX.ORG.RU
решено ФорумAdmin

Iptables. Как открыть порты?

 , , ,


1

2

Доброго дня. В организации имеется сетевой шлюз. Доступ в интернет из локальной сети осуществляется через него. А так же на сетевом шлюзе висит интерфейс 10.18.16.1, который смотрит в сеть 10.18.16.0/24. Там располагаются камеры видеонаблюдения.

Ранее видеорегистратор был в сети 192.168.0.0/24, сейчас кинул его за сетевой шлюз в сеть 10.18.16.0/24 и назначит ip-адрес 10.18.16.2.

Проблема в том, что на веб-морду регистратора я то цепляюсь через интерфейс 10.18.16.1, а видео с камер и записи на веб-морде регистратора посмотреть не выходит.

Как я понял передача видеопотока идет через 554 порт.

Вопрос глупый наверное и решается легко - как настроить сетевой шлюз, чтобы гонялся трафик по 554-му через интерфейс 10.18.16.1?

Шлюз на базе CentOs, Clearos 7

Вопрос глупый наверное и решается легко

Ну что ты за мудило? Вопрос риторический. Иди на стройку работать. Зачем таких дегенератов брать на работу в IT?

anonymous ()

Есть IT-шный препод Московский, Кирилл Семаев, у него канал на ютубе для вообще конкретных чайников. Рекомендую к просмотру. А именно по твоему вопросу ответ опять же от этого чувака смотри тут

Shprot ()

Если RTSP, то да, 554 порт. Веб морду пробросить можно только на другой порт, если иптаблесами.

turtle_bazon ★★★★★ ()
Ответ на: комментарий от Shulman

А можете пример подсказать? Организация небольшая, я редко занимаюсь сетевыми настройками. Поднял сервак, доступ к сети, DHCP, прокси и виртуальный интерфейс для сетки 10.18.16.0/24 да закинул в угол. Уже год как не ковырял. Мало смыслю в iptables, особенно при настройке на другие интерфейсы.

Anti4it ()

в CentOS 7 порты нужно открывать через firewall-cmd. Вбей это в поиск и получишь массу исчерпывающих ответов

r0ck3r ★★★★★ ()
Ответ на: комментарий от Shulman

Chain INPUT (policy DROP 198 packets, 35109 bytes) pkts bytes target prot opt in out source destination
0 0 DROP tcp – * * !127.0.0.1 0.0.0.0/0 tcp dpt:3128 3 151 DROP all – * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 REJECT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset 17 1187 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP all – enp1s0 * 127.0.0.0/8 0.0.0.0/0
3439 1396K ACCEPT all – lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – tun+ * 0.0.0.0/0 0.0.0.0/0
16300 1214K ACCEPT all – enp3s2 * 0.0.0.0/0 0.0.0.0/0
16 464 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT udp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT tcp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68 3 164 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:80 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:443 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:22 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:81 671 73206 ACCEPT udp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 1203 1041K ACCEPT tcp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
58596 32M ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all – pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – tun+ * 0.0.0.0/0 0.0.0.0/0
8168 520K ACCEPT all – enp3s2 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
3450 1396K ACCEPT all – * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * pptp+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * tun+ 0.0.0.0/0 0.0.0.0/0
14183 2787K ACCEPT all – * enp3s2 0.0.0.0/0 0.0.0.0/0
17 573 ACCEPT icmp – * enp1s0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp – * enp1s0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 0 0 ACCEPT tcp – * enp1s0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 1 60 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:81 1900 215K ACCEPT all – * enp1s0 0.0.0.0/0 0.0.0.0/0

Anti4it ()
Ответ на: комментарий от Anti4it
Chain INPUT (policy DROP 198 packets, 35109 bytes) pkts bytes target prot opt in out source destination
0 0 DROP tcp – * * !127.0.0.1 0.0.0.0/0 tcp dpt:3128 3 151 DROP all – * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 REJECT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset 17 1187 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP all – enp1s0 * 127.0.0.0/8 0.0.0.0/0
3439 1396K ACCEPT all – lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – tun+ * 0.0.0.0/0 0.0.0.0/0
16300 1214K ACCEPT all – enp3s2 * 0.0.0.0/0 0.0.0.0/0
16 464 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT udp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT tcp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68 3 164 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:80 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:443 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:22 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:81 671 73206 ACCEPT udp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 1203 1041K ACCEPT tcp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
58596 32M ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all – pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – tun+ * 0.0.0.0/0 0.0.0.0/0
8168 520K ACCEPT all – enp3s2 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
3450 1396K ACCEPT all – * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * pptp+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * tun+ 0.0.0.0/0 0.0.0.0/0
14183 2787K ACCEPT all – * enp3s2 0.0.0.0/0 0.0.0.0/0
17 573 ACCEPT icmp – * enp1s0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp – * enp1s0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 0 0 ACCEPT tcp – * enp1s0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 1 60 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:81 1900 215K ACCEPT all – * enp1s0 0.0.0.0/0 0.0.0.0/0
Shulman ()
Ответ на: комментарий от anonymous

Ну вот я и не знаю как быть. Я в этом вопросе зеленый. Мне ближе 1С и программирование, чем сети. Сетевой шлюз настроил год назад и забыл. Шуршит себе в углу.

Самое интересное - веб. интерфейс регистратора то доступен. Можно спокойно настройки менять. Но весь функционал, связанный с видео-потоком и просмотром не работает…

Хотя если цепануть регистратор к сети 192.168.0.0/24 то разумеется все ОК. А вот если за шлюз подключить к оборудованию провайдера - то такая фигня. Причем дело в шлюзе, подключал через него. Он не пропускает… Firewall отключен, прокси фильтр тоже вырубал.

Вывод потому и сделал что проблема в портах. Доступ то к устройству есть, да работает не все…

Anti4it ()
Ответ на: комментарий от anonymous

Что ВЫ за мудило, раз с ходу так отвечаете на просьбы о помощи? Мне сети ни к чему в основном. Такова специфика работы, а опыт вещь такая - есть не всегда. Я к сетевым настройкам прибегаю редко.

Сетевой шлюз настроил и закинул в угол. Работает себе спокойно и меня радует своей стабильной работой уже более года.

Основная специфика моей работы - 1С, офисная техника, различное бухгалтерское ПО, видеонаблюдение и т.д.

Столкнулся с неизведанным и полез на форум, как тут же получил такое… Спасибо. Ноунеймы в сети как обычно.

Anti4it ()

1.Покажите выхлопы

ip a
ip r s 
iptables-save
И используйте описание разметки, описание есть внизу формы
Внимание: прочитайте описание разметки Markdown или LORCODE. А также воспользуйтесь кнопкой «Предпросмотр»

2. У 10.18.16.2 кто является шлюзом по умолчанию?

anc ★★★★★ ()
Ответ на: комментарий от anc

У 10.18.16.2 (видеорегистратора) шлюз по умолчанию - 10.18.16.1 (IP виртуального интерфейса сетевого шлюза организации).

Я обязательно предоставлю, но завтра. Сейчас не на работе.

Anti4it ()

бля, мужики, 30ое декабря, хватит дегенерировать, ну

Anoxemian ★★★★★ ()

Вам iptables в данной задаче вообще не нужны. Разве что для разрешения форвардинга пакетов из сети 10.18.16.0/24 в сеть 192.168.0.0/24 и наоборот. Ну и не NATить пакеты из 192.168.0.0, которые идут в сеть 10.18.16.0. В этом случае Вы будете видеть все хосты в сети 10.18.16.0 и сможете подключаться к видеорегистратору по его прямому адресу - 10.18.16.2.

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Да к в том и загвоздка - я спокойно подключаюсь к 10.18.16.2, по факту просто подняв виртуальный интерфейс enp1s0:0 не сетевом шлюзе. Захожу на веб-морду регистратора, могу менять настройки. Но видеопоток просматривать не могу. Если же подключить регистратор в сеть 192.168.0.0/24, то все работает. Но это перед сетевым шлюзом, а обстоятельства таковы - что его нужно установить за ним, в сети 10.18.16.0/24.

Anti4it ()
Ответ на: комментарий от anc

ip a

ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:25:22:04:15:03 brd ff:ff:ff:ff:ff:ff inet 172.16.7.206/24 brd 172.16.7.255 scope global enp1s0 valid_lft forever preferred_lft forever inet 10.18.16.1/24 brd 10.18.16.255 scope global enp1s0:0 valid_lft forever preferred_lft forever inet6 fe80::225:22ff:fe04:1503/64 scope link valid_lft forever preferred_lft forever 3: enp3s2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether e8:de:27:03:96:b6 brd ff:ff:ff:ff:ff:ff inet 192.168.0.1/24 brd 192.168.0.255 scope global enp3s2 valid_lft forever preferred_lft forever inet6 fe80::eade:27ff:fe03:96b6/64 scope link valid_lft forever preferred_lft forever <<<

ip r s

default via 172.16.7.254 dev enp1s0 10.18.16.0/24 dev enp1s0 proto kernel scope link src 10.18.16.1 172.16.7.0/24 dev enp1s0 proto kernel scope link src 172.16.7.206 192.168.0.0/24 dev enp3s2 proto kernel scope link src 192.168.0.1 <<<

ifconfig

enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.16.7.206 netmask 255.255.255.0 broadcast 172.16.7.255 inet6 fe80::225:22ff:fe04:1503 prefixlen 64 scopeid 0x20 ether 00:25:22:04:15:03 txqueuelen 1000 (Ethernet) RX packets 3802880 bytes 1679476017 (1.5 GiB) RX errors 0 dropped 3221 overruns 0 frame 0 TX packets 3832317 bytes 3554370221 (3.3 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 enp1s0:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 10.18.16.1 netmask 255.255.255.0 broadcast 10.18.16.255 ether 00:25:22:04:15:03 txqueuelen 1000 (Ethernet) enp3s2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 inet6 fe80::eade:27ff:fe03:96b6 prefixlen 64 scopeid 0x20 ether e8:de:27:03:96:b6 txqueuelen 1000 (Ethernet) RX packets 7836335 bytes 7658911063 (7.1 GiB) RX errors 0 dropped 12432 overruns 0 frame 0 TX packets 7327515 bytes 6537542119 (6.0 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1000 (Local Loopback) RX packets 961546 bytes 1780674901 (1.6 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 961546 bytes 1780674901 (1.6 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 <<<

iptables-save

Generated by iptables-save v1.4.21 on Tue Dec 31 08:34:55 2019 PREROUTING ACCEPT [479234:31453057] INPUT ACCEPT [70597:4741643] OUTPUT ACCEPT [16071:1061855] POSTROUTING ACCEPT [3194:274848] -A PREROUTING -d 192.168.0.1/32 -p tcp -m tcp –dport 80 -j ACCEPT -A PREROUTING -d 172.16.7.206/32 -p tcp -m tcp –dport 80 -j ACCEPT -A PREROUTING -i enp3s2 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080 -A POSTROUTING -o tun+ -j ACCEPT -A POSTROUTING -o enp1s0 -j MASQUERADE COMMIT Completed on Tue Dec 31 08:34:55 2019 Generated by iptables-save v1.4.21 on Tue Dec 31 08:34:55 2019 *mangle :PREROUTING ACCEPT [11272086:10929620202] :INPUT ACCEPT [5604169:6834652111] :FORWARD ACCEPT [5459499:4084292895] :OUTPUT ACCEPT [3487255:7541625119] :POSTROUTING ACCEPT [8947002:11625971178] -A FORWARD -o ppp+ -p tcp -m tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu COMMIT Completed on Tue Dec 31 08:34:55 2019 Generated by iptables-save v1.4.21 on Tue Dec 31 08:34:55 2019 *filter :INPUT DROP [11634:2092495] :FORWARD DROP [4:6188] :OUTPUT DROP [0:0] :DROP-lan - [0:0] -A INPUT ! -s 127.0.0.1/32 -p tcp -m tcp –dport 3128 -j DROP -A INPUT -m state –state INVALID -j DROP -A INPUT -p tcp -m tcp –tcp-flags SYN,ACK SYN,ACK -m state –state NEW -j REJECT –reject-with tcp-reset -A INPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j DROP -A INPUT -s 127.0.0.0/8 -i enp1s0 -j DROP -A INPUT -i lo -j ACCEPT -A INPUT -i pptp+ -j ACCEPT -A INPUT -i tun+ -j ACCEPT -A INPUT -i enp3s2 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 0 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 3 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 8 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 11 -j ACCEPT -A INPUT -i enp1s0 -p udp -m udp –sport 67 –dport 68 -j ACCEPT -A INPUT -i enp1s0 -p tcp -m tcp –sport 67 –dport 68 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 81 -j ACCEPT -A INPUT -i enp1s0 -p udp -m udp –dport 1024:65535 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i enp1s0 -p tcp -m tcp –dport 1024:65535 -m state –state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i pptp+ -j ACCEPT -A FORWARD -i tun+ -j ACCEPT -A FORWARD -i enp3s2 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o pptp+ -j ACCEPT -A OUTPUT -o tun+ -j ACCEPT -A OUTPUT -o enp3s2 -j ACCEPT -A OUTPUT -o enp1s0 -p icmp -j ACCEPT -A OUTPUT -o enp1s0 -p udp -m udp –sport 68 –dport 67 -j ACCEPT -A OUTPUT -o enp1s0 -p tcp -m tcp –sport 68 –dport 67 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 80 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 443 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 22 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 81 -j ACCEPT -A OUTPUT -o enp1s0 -j ACCEPT -A DROP-lan -j DROP COMMIT <<<

Anti4it ()
Ответ на: комментарий от Anti4it

Причина найдена

Ломал голову не там где нужно, а еще невнимательность сыграла свою роль. Отключил лишь одну службу прокси-фильтра, в то время как вторая работала и, падла, рубила видеопоток.

Стопарнул вторую и все заработало. Сейчас всковырну правила и настрою, либо кину IP в исключения.

Всем спасибо за помощь!

Anti4it ()
Ответ на: Причина найдена от Anti4it

На будущее, убедительная просьба использовать теги разметки, когда выкладываете конфиги или логи. Иначе читать эту кашу очень сложно :(.

Serge10 ★★★★★ ()
Ответ на: комментарий от Anti4it

ноунеймы в сети его беспокоят. сложно разметку освоить и кнопка «предпросмотр» не для тебя любезный?!

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.