Publicar sistema GeoVision no firewall
13 02 2009O sistema de cameras GeoVision, é bastante comum no mercado e utilizado por diversas empresas para monitorar e gravar imagens através de câmeras.
Quem tem um pouco mais de experiência em administração de rede e firewall certamente já precisou publicar isso alguma vez, mas frequentemente existem pessoas que estão iniciando nessa função e encontram algum problema na publicação desse serviço.
Vou tentar passar brevemente como deve ser feita a publicação no iptables e no ISA, caso não esteja bem claro é só entrar em contato através dos comentários.
IPTABLES
Esse sistema utiliza conexões de entrada nas portas 80 (por padrão, mas muitas vezes é modificada), e também nas portas 3550, 4550, 5550, 6550.
Isso quer dizer que as conexões de entrada no firewall com destino a essas portas, devem ser redirecionadas para a estação onde está o sistema.
No iptables além das regras de redirecionamento (nat) também são necessárias regras liberando essas portas na cadeia FORWARD.
Segue o exemplo:
(obs.: no lugar da eth0 abaixo, deve ser colocada a interface onde está o sua placa de rede conectada no link de internet, e no lugar do 192.168.0.1, o ip do seu servidor de câmeras)
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1 iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3550 -j DNAT --to-destination 192.168.0.1 iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 4550 -j DNAT --to-destination 192.168.0.1 iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 5550 -j DNAT --to-destination 192.168.0.1 iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 6550 -j DNAT --to-destination 192.168.0.1 Agora as regras liberando no forward: iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --dport 3550 -j ACCEPT iptables -A FORWARD -p tcp --dport 4550 -j ACCEPT iptables -A FORWARD -p tcp --dport 5550 -j ACCEPT iptables -A FORWARD -p tcp --dport 6550 -j ACCEPT
Para uma melhor segurança, pode ser especificado nas linhas de FORWARD o parâmetro -d (de destination) especificando o ip da rede interna do servidor, dessa forma as portas serão liberadas apenas para ele. Caso seja utilizado esse parâmetro, é preciso que o firewall esteja com o –state RELATED,ESTABLISHED também no forward.
ISA SERVER
No isa server é preciso criar um protocolo aceitando conexões do tipo INBOUND nas portas 80 (se estiver a porta padrão) 3550, 4550, 5550, 6550.
Depois de estar criado o protocolo, é preciso criar uma regra de publicação (clicar com o botão direito em firewall policy, new, server publishing rule…
Nessa regra de publicação deve ser especificado para permitir conexões usando o protocolo criado acima, originadas da rede externa (internet) com destino ao servidor onde estão as cameras.
Segue abaixo como ficou a regra depois de criada no meu caso (clique para ampliar):
É isso, qualquer dúvida só postar nos comentários.
Cara no iptables fiz do seu que você disse só que nao redireciona, nao precisa liberar o udp nao?
Obrigado.
Daí Anderson,
Normalmente não precisa udp não. confere se o default gateway da máquina onde está o sistema de cameras aponta para o servidor linux onde vc colocou as regras. e também se tem uma regra de mascaramento para a rede local.
abraço!