Tengo un enrutador inalámbrico Asus al que se le actualizó MERLIN. También tengo varias cámaras IP conectadas mediante Wifi. Quiero evitar que las cámaras IP intenten llamar a casa desactivando las salidas. que hice con esto
Sin embargo, hay algunas cosas que me gustaría hacer.
- POR DEFECTOEvitar que las cámaras IP envíen datos fuera de mi red.
- Excepción: las cámaras IP deben conectarse y enviarse al puerto 465 (puerto SMTPS) para enviar un correo electrónico.
- Excepción: quiero un puñado de direcciones IP (algunas son rangos de IP) para poder acceder de forma remota a la cámara a través del PUERTO. Entonces necesito una regla que sea una excepción al valor predeterminado.
Ya tengo configurado el reenvío de puertos.
Entonces, por ejemplo: 192.168.1.2:123 (123 es el puerto que uso para acceder a la cámara a través del navegador) es la forma en que puedo conectarme en línea a través del navegador. También quiero que sea accesible no SÓLO localmente sino fuera de la red doméstica, sino también con un puñado de IP. Si no es la dirección IP, lo BORRARÁN si lo es, se le aceptará. Como un portero. Básicamente, la computadora de mi trabajo puede acceder a esa cámara a través del puerto 123, es lo que estoy tratando de hacer.
Entiendo Linux y conozco algunos de los indicadores de IPTABLES, pero no lo suficiente, así que necesito un experto.
¡Gracias!
Respuesta1
El trabajo será más fácil si sus cámaras están en una subred estándar. Luego puede mencionar la subred en cada regla que se menciona a continuación. De lo contrario, será mejor que veasesta publicacióno similar.
Después de ver cómo especificar el rango IP de las cámaras, puede descartar fácilmente todos los paquetes iniciados por sus cámaras (suponiendo que sean conexiones tcp) usando la opción --syn. Este es un ejemplo suponiendo que todas las cámaras (<=8 cámaras y ningún otro sistema) están en una subred de 192.168.1.0/29
#1 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2 iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4 iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP
Agregue el número 2 solo si no se realiza NAT en la máquina Linux.
Para publicar cámaras:
iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123
pero permita que solo esas direcciones IP específicas accedan a ellos:
iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP
Por supuesto, si las direcciones de las cámaras no están claramente en una subred, debe intercambiar 192.168.1.0/29 p con la dirección IP de la cámara y repetir la regla para cada una.