Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Biden loveste din nou

Pocket PC Handheld ajutor.

Intrerupere utilitati casa tempor...

Care credeti ca este probabilitat...
 paravan geam / obturare vedere

Motorola E32, se aprinde flashlig...

La mulți ani @sylvius!

Joy Berceni Biruintei 87
 Recomandare suport tableta

Vanzare apartament

Adaptare motor nou la unele elect...

Sfat achizitie mirrorless Lumix
 Romania printre primele poziții d...

Pisica din Iasi care a mers sa na...

PC fara wifi, conectare smart mon...

Masina cu buget redus
 

Port forward

- - - - -
  • Please log in to reply
12 replies to this topic

#1
vdingo11

vdingo11

    Senior Member

  • Grup: Senior Members
  • Posts: 4,267
  • Înscris: 24.08.2005
Am in reteaua locala niste camere fara dvr dar cu ip local (192.168.1.x) sa ii spunem ip_loc1.
Am un router cu ip_public care pe portul 80 are apache cu site-ul.
Din reteaua locala daca accesez http://ip_loc1 pot vedea camera - deci clar si asta foloseste 80 impicit.
Ma intereseaza sa accesez din exterior camera prin: http://ip_public:port1

Cum trebuie sa modific liniile de mai jos ca sa fie corecte:

Quote

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport xxxx -j DNAT --to-destination ip_loc1:yyyy
iptables -t nat -A POSTROUTING -p TCP - s ip_loc1 --sport zzzz -j SNAT --to-source ip_public

Imi puteti spune va rog cum pun 80; port1 in loc de xxxx, yyyy, zzzz

Cele doua linii imi functioneaza daca fac forward la acelasi port din intern in extern. Daca un port intern trebuie sa il duc in altul extern nu stiu cum sa le pun.

Multumesc.

#2
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 23,179
  • Înscris: 18.04.2008
Router-ul știe loopback?

#3
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,284
  • Înscris: 08.10.2015
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8880 -j DNAT --to-destination ip_loc1:80
iptables -t nat -A POSTROUTING -p TCP - s ip_loc1 --sport 80 -j SNAT --to-source ip_public


Incerc sa testez ceva dar am niste issues si nu imi iese dar ideea de baza ca targetul DNAT cat si SNAT au ca optiuni --to-destination si --to-source care primesc ca valori IP si / sau port. Adica liniile de mai jos trebuie sa functioneze fara probleme:
iptables -t nat -A PREROUTING ! -d 192.168.0.0/24 -p tcp --dport 8888 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.100:80
iptables -t nat -A PREROUTING ! -d 192.168.0.0/24 -p tcp --dport 8888 -m conntrack --ctstate NEW -j DNAT --to-destination :80
iptables -t nat -A POSTROUTING ! -d 192.168.0.0/24 -p tcp --sport 80 -c conntrack --ctstate NEW,ESTABLISHED -j SNAT --to-source $IP_ETH+:8888
iptables -t nat -A POSTROUTING ! -d 192.168.0.0/24 -p tcp --sport 80 -c conntrack --ctstate NEW,ESTABLISHED -j SNAT --to-source :8888


LE: Si testul:
┌(ghost)─(archlinux)─(4.20.3-arch1-1-ARCH)
└─(deCitit)─(134 files, 3,7GB)─ $ vIP -t nat
Chain PREROUTING (policy ACCEPT 4 packets, 112 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		
	0	 0 DNAT	   tcp  --  *	  *	   0.0.0.0/0			0.0.0.0/0			tcp dpt:8888 ctstate NEW to:127.0.0.1:80

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		

Chain OUTPUT (policy ACCEPT 1 packets, 76 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		

Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes)
 pkts bytes target	 prot opt in	 out	 source			   destination		
	0	 0 SNAT	   tcp  --  *	  *	   0.0.0.0/0			0.0.0.0/0			tcp spt:80 ctstate NEW,ESTABLISHED to::8888

┌(ghost)─(archlinux)─(4.20.3-arch1-1-ARCH)
└─(deCitit)─(134 files, 3,7GB)─ $


Edited by MembruAnonim, 18 January 2019 - 15:20.


#4
vdingo11

vdingo11

    Senior Member

  • Grup: Senior Members
  • Posts: 4,267
  • Înscris: 24.08.2005
Kagaroth multumesc de cod dar poate ma ajuti sa modific codul meu

View Postvdingo11, on 18 ianuarie 2019 - 14:40, said:

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 125 -j DNAT --to-destination 192.168.1.32:125
iptables -t nat -A POSTROUTING -p TCP - s 192.168.1.32 --sport 125 -j SNAT --to-source ip_public

Aceste linii functioneaza in acest moment la mine in reteaua locala: http://192.168.1.32:125 si din afara http://ip_public:125 cu precizarea ca aplicatia functioneaza pe port 125
Eu am o camera care in acest moment in reteaua locala o accesez cu http://192.168.1.47 (sau http://192.168.1.47:80) si doresc sa o accesez din afara cu http://ip_public:128
Cum modific liniile de mai sus ca sa functioneze? Clar am nevoie de alt port (eu am dat 128) deoarece http://ip_public este pentru site.
Acel port 125 de mai sus trebuie schimbat cu 80 si 128 dar nu inteleg cum

Edited by vdingo11, 18 January 2019 - 15:26.


#5
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,284
  • Înscris: 08.10.2015
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 128 -j DNAT --to-destination 192.168.1.32:80
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 -d ! 192.168.1.0/24 -j SNAT --to-source :128


--sport 80, --dport 128, --to-adress $IP_local:80, --to-source $IP_public:128

PS: Cand faci SNAT ai nevoie de -d ! $LAN pentru a nu modifica portul / translata IP:port cand accesezi jucaria din LAN. -d ! = destinatie diferita de ce vine dupa !.

Edited by MembruAnonim, 18 January 2019 - 15:41.


#6
vdingo11

vdingo11

    Senior Member

  • Grup: Senior Members
  • Posts: 4,267
  • Înscris: 24.08.2005
Multumesc.
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).

Imi spune asa. Cum modific sa fie corect?

#7
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,284
  • Înscris: 08.10.2015
Cum zice acolo. Adica asa:
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 ! -d 192.168.1.0/24 -j SNAT --to-source :128



#8
vdingo11

vdingo11

    Senior Member

  • Grup: Senior Members
  • Posts: 4,267
  • Înscris: 24.08.2005
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 ! -d 192.168.1.0/24 -j SNAT --to-source :128

Am modificat ca mai sus. Nu mai da avertismentul dar nu functioneaza.
Nu merge nici din LAN nici din alta retea.
Deci:
din LAN
- http://192.168.1.32 este ok
- http://192.168.1.32:128 - nu merge

din alta retea
- http://ip_real:128 nu merge

Edited by vdingo11, 21 January 2019 - 13:47.


#9
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,284
  • Înscris: 08.10.2015
iptables -vnL -t nat
iptables -vnL
iptables -t nat -A POSTROUTING -p TCP -s 192.168.1.32 --sport 80 ! -d 192.168.1.0/24 -j LOG --log-prefix '[NAT::DVR::WAN] '
journalctl -k | grep -i nat.*IN=.*OUT=.*

Posibil sa fie nevoie sa folosesti si modulul conntrack si / sau NAT Helpers. Nu am la dispozitie DVR sa testez insa regulile alea ar trebui sa functioneze. Pune netcat sa asculte pe 80 pe ceva in spatele acelui router GNU/Linux si apoi faci telnet din WAN si vezi ca portul e deschis. Pentru camere poate ai nevoie si de alt port / protocol deschis as in UDP nu TCP.

#10
vdingo11

vdingo11

    Senior Member

  • Grup: Senior Members
  • Posts: 4,267
  • Înscris: 24.08.2005
Nu am DVR. Am o camera IP pusa in LAN care are un ip intern.
In setarile camerei scrie asa:
HTTP POrt: 80
RTSP Port 554
HTTPS Port: 443
Server Port: 8000

Eu din LAN o accesez simplu cu 192.168.1.32

Edited by vdingo11, 21 January 2019 - 13:58.


#11
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,284
  • Înscris: 08.10.2015
Pai da dar tu in WAN trebuie sa forwardezi si stream-ul RSTP adica 554. In LAN functioneaza totul ca e LAN e altceva in WAN ai nevoie atat de TCP cat si RSTP. 128 nu functioneaza din LAN ca aia face acel "! -d 192.168.1.0/24".

PS: Poti sa imi zici pe PM IP-ul din WAN?

#12
vdingo11

vdingo11

    Senior Member

  • Grup: Senior Members
  • Posts: 4,267
  • Înscris: 24.08.2005
Am testat pe http://www.canyouseeme.org/ portul 128 si nu este deschis cu acele linii de mai sus.

#13
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,284
  • Înscris: 08.10.2015
Pe INPUT in iptables nu ai portul deschis si / sau nu ai regulile in iptables pe FORWARD puse. Ah si de asemenea net.ipv4.ip_forward = 1 in /etc/sysctl.d/ sau sysctl -w net.ipv4.ip_forward=1

Anunturi

Chirurgia spinală minim invazivă Chirurgia spinală minim invazivă

Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical.

Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate