Eu tenho um roteador sem fio Asus que foi atualizado com MERLIN. Também possuo diversas câmeras IP conectadas via Wifi. Quero evitar que as câmeras IP tentem ligar para casa desativando a saída. O que eu fiz com isso
No entanto, há algumas coisas que eu gostaria de fazer.
- POR PADRÃOImpedir que câmeras IP enviem dados para fora da minha rede.
- Exceção: As câmeras IP precisam se conectar e enviar para a porta 465 (porta SMTPS) para enviar um e-mail.
- Exceção: quero alguns endereços IP (alguns são intervalos de IP) para poder acessar remotamente a câmera via PORT. Então preciso que uma regra seja uma exceção ao padrão.
Já tenho configuração de encaminhamento de porta.
Por exemplo: 192.168.1.2:123 (123 é a porta que uso para acessar a câmera via navegador) é a forma como posso me conectar a ela online via navegador. Também quero que seja acessível não SOMENTE localmente, mas fora da rede doméstica, mas com alguns IPs. Se você não for o endereço IP, será DEIXADO se for aceito. Como um segurança. Basicamente, meu computador de trabalho pode acessar essa câmera pela porta 123, é o que estou tentando fazer.
Eu entendo Linux e conheço alguns dos sinalizadores do IPTABLES, mas não o suficiente, então preciso de um especialista.
Obrigado!
Responder1
O trabalho será mais fácil se suas câmeras estiverem em uma sub-rede padrão. Então você pode mencionar a sub-rede em cada regra mencionada abaixo. Caso contrário, é melhor você veresta postagemou similar.
Depois de descobrir como especificar o intervalo IP das câmeras, você pode facilmente descartar todos os pacotes iniciados por suas câmeras (supondo que sejam conexões TCP) usando a opção --syn. Este é um exemplo assumindo que todas as câmeras (<=8 câmeras e nenhum outro sistema) estão em uma sub-rede de 192.168.1.0/29
#1 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2 iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3 iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4 iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP
Adicione o número 2 somente se o NAT não for feito na caixa do Linux.
Para publicar câmeras:
iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123
mas deixe apenas esses endereços IP específicos acessá-los:
iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP
É claro que se os endereços das câmeras não estiverem perfeitamente em uma sub-rede, você terá que trocar 192.168.1.0/29 p pelo endereço IP da câmera e repetir a regra para cada um.