私はMERLINがフラッシュされたAsusワイヤレスルーターを持っています。また、Wifi経由で接続されたIPカメラもいくつか持っています。IPカメラが自宅に電話をかけないように、発信を無効にしたいです。これはこれでできました。
しかし、やりたいことがいくつかあります。
- デフォルトIP カメラがネットワーク外にデータを送信できないようにします。
- 例外: IP カメラは、電子メールを送信するためにポート 465 (SMTPS ポート) に接続して送信する必要があります。
- 例外: いくつかの IP アドレス (一部は IP 範囲) がポート経由でカメラにリモート アクセスできるようにする必要があります。そのため、デフォルトの例外となるルールが必要です。
ポート転送はすでに設定されています。
たとえば、192.168.1.2:123 (123 はブラウザ経由でカメラにアクセスするために使用するポート) は、ブラウザ経由でオンラインでカメラに接続できる方法です。また、ローカルだけでなく、ホーム ネットワークの外部からもアクセスできるようにし、いくつかの IP でアクセスできるようにしたいと考えています。IP アドレスでない場合はドロップされ、IP アドレスの場合は受け入れられます。用心棒のように。つまり、基本的に、仕事用のコンピューターがポート 123 経由でカメラにアクセスできるようにするというのが、私がやろうとしていることです。
私は Linux を理解しており、IPTABLES のフラグのいくつかを知っていますが、それだけでは十分ではないので、専門家が必要です。
ありがとう!
答え1
カメラが標準サブネット上にある場合は、作業が簡単になります。その場合は、以下の各ルールでサブネットを記述できます。そうでない場合は、この郵便受けまたは類似。
カメラの IP 範囲を指定する方法を処理した後、--syn オプションを使用して、カメラによって開始されたすべてのパケット (TCP 接続であると仮定) を簡単にドロップできます。これは、すべてのカメラ (<=8 台のカメラで他のシステムはありません) が 192.168.1.0/29 のサブネット上にあることを前提とした例です。
#1 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2 iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4 iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP
Linux ボックスで NAT が実行されない場合にのみ #2 を追加します。
カメラを公開するには:
iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123
ただし、特定の IP アドレスのみがアクセスできるようにします。
iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP
もちろん、カメラのアドレスが 1 つのサブネット内にきちんと収まっていない場合は、192.168.1.0/29 p をカメラの IP アドレスと交換し、それぞれに対してルールを繰り返す必要があります。