Port forward

Am in reteaua locala niste camere fara dvr dar cu ip local (192.168.1.x) sa ii spunem ip_loc1.
Am un router cu ip_public care pe portul 80 are apache cu site-ul.
Din reteaua locala daca accesez http://ip_loc1 pot vedea camera - deci clar si asta foloseste 80 impicit.
Ma intereseaza sa accesez din exterior camera prin: http://ip_public:port1

Cum trebuie sa modific liniile de mai jos ca sa fie corecte:

Quote

Imi puteti spune va rog cum pun 80; port1 in loc de xxxx, yyyy, zzzz

Cele doua linii imi functioneaza daca fac forward la acelasi port din intern in extern. Daca un port intern trebuie sa il duc in altul extern nu stiu cum sa le pun.

Multumesc.

Router-ul știe loopback?

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8880 -j DNAT --to-destination ip_loc1:80
iptables -t nat -A POSTROUTING -p TCP - s ip_loc1 --sport 80 -j SNAT --to-source ip_public

Incerc sa testez ceva dar am niste issues si nu imi iese dar ideea de baza ca targetul DNAT cat si SNAT au ca optiuni --to-destination si --to-source care primesc ca valori IP si / sau port. Adica liniile de mai jos trebuie sa functioneze fara probleme:

iptables -t nat -A PREROUTING ! -d 192.168.0.0/24 -p tcp --dport 8888 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.100:80
iptables -t nat -A PREROUTING ! -d 192.168.0.0/24 -p tcp --dport 8888 -m conntrack --ctstate NEW -j DNAT --to-destination :80
iptables -t nat -A POSTROUTING ! -d 192.168.0.0/24 -p tcp --sport 80 -c conntrack --ctstate NEW,ESTABLISHED -j SNAT --to-source $IP_ETH+:8888
iptables -t nat -A POSTROUTING ! -d 192.168.0.0/24 -p tcp --sport 80 -c conntrack --ctstate NEW,ESTABLISHED -j SNAT --to-source :8888

LE: Si testul:

┌(ghost)─(archlinux)─(4.20.3-arch1-1-ARCH)
└─(deCitit)─(134 files, 3,7GB)─ $ vIP -t nat
Chain PREROUTING (policy ACCEPT 4 packets, 112 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		
	0	 0 DNAT	   tcp  --  *	  *	   0.0.0.0/0			0.0.0.0/0			tcp dpt:8888 ctstate NEW to:127.0.0.1:80

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		

Chain OUTPUT (policy ACCEPT 1 packets, 76 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		

Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		
	0	 0 SNAT	   tcp  --  *	  *	   0.0.0.0/0			0.0.0.0/0			tcp spt:80 ctstate NEW,ESTABLISHED to::8888

┌(ghost)─(archlinux)─(4.20.3-arch1-1-ARCH)
└─(deCitit)─(134 files, 3,7GB)─ $

Edited by MembruAnonim, 18 January 2019 - 15:20.

Kagaroth multumesc de cod dar poate ma ajuti sa modific codul meu

vdingo11, on 18 ianuarie 2019 - 14:40, said:

Aceste linii functioneaza in acest moment la mine in reteaua locala: http://192.168.1.32:125 si din afara http://ip_public:125 cu precizarea ca aplicatia functioneaza pe port 125
Eu am o camera care in acest moment in reteaua locala o accesez cu http://192.168.1.47 (sau http://192.168.1.47:80) si doresc sa o accesez din afara cu http://ip_public:128
Cum modific liniile de mai sus ca sa functioneze? Clar am nevoie de alt port (eu am dat 128) deoarece http://ip_public este pentru site.
Acel port 125 de mai sus trebuie schimbat cu 80 si 128 dar nu inteleg cum

Edited by vdingo11, 18 January 2019 - 15:26.

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 128 -j DNAT --to-destination 192.168.1.32:80
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 -d ! 192.168.1.0/24 -j SNAT --to-source :128

--sport 80, --dport 128, --to-adress $IP_local:80, --to-source $IP_public:128

PS: Cand faci SNAT ai nevoie de -d ! $LAN pentru a nu modifica portul / translata IP:port cand accesezi jucaria din LAN. -d ! = destinatie diferita de ce vine dupa !.

Edited by MembruAnonim, 18 January 2019 - 15:41.

Multumesc.

Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).

Imi spune asa. Cum modific sa fie corect?

Cum zice acolo. Adica asa:

iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 ! -d 192.168.1.0/24 -j SNAT --to-source :128

iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 ! -d 192.168.1.0/24 -j SNAT --to-source :128

Am modificat ca mai sus. Nu mai da avertismentul dar nu functioneaza.
Nu merge nici din LAN nici din alta retea.
Deci:
din LAN
- http://192.168.1.32 este ok
- http://192.168.1.32:128 - nu merge

din alta retea
- http://ip_real:128 nu merge

Edited by vdingo11, 21 January 2019 - 13:47.

iptables -vnL -t nat
iptables -vnL
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 ! -d 192.168.1.0/24 -j LOG --log-prefix '[NAT::DVR::WAN] '
journalctl -k | grep -i nat.*IN=.*OUT=.*

Posibil sa fie nevoie sa folosesti si modulul conntrack si / sau NAT Helpers. Nu am la dispozitie DVR sa testez insa regulile alea ar trebui sa functioneze. Pune netcat sa asculte pe 80 pe ceva in spatele acelui router GNU/Linux si apoi faci telnet din WAN si vezi ca portul e deschis. Pentru camere poate ai nevoie si de alt port / protocol deschis as in UDP nu TCP.

Nu am DVR. Am o camera IP pusa in LAN care are un ip intern.
In setarile camerei scrie asa:
HTTP POrt: 80
RTSP Port 554
HTTPS Port: 443
Server Port: 8000

Eu din LAN o accesez simplu cu 192.168.1.32

Edited by vdingo11, 21 January 2019 - 13:58.

Pai da dar tu in WAN trebuie sa forwardezi si stream-ul RSTP adica 554. In LAN functioneaza totul ca e LAN e altceva in WAN ai nevoie atat de TCP cat si RSTP. 128 nu functioneaza din LAN ca aia face acel "! -d 192.168.1.0/24".

PS: Poti sa imi zici pe PM IP-ul din WAN?

Am testat pe http://www.canyouseeme.org/ portul 128 si nu este deschis cu acele linii de mai sus.

Pe INPUT in iptables nu ai portul deschis si / sau nu ai regulile in iptables pe FORWARD puse. Ah si de asemenea net.ipv4.ip_forward = 1 in /etc/sysctl.d/ sau sysctl -w net.ipv4.ip_forward=1