У меня есть беспроводной маршрутизатор Asus, который был прошит MERLIN. У меня также есть несколько IP-камер, подключенных через Wi-Fi. Я хочу, чтобы IP-камеры не пытались позвонить домой, отключив исходящие. Что я сделал с этим

Однако есть несколько вещей, которые я хотел бы сделать.

  1. ПО УМОЛЧАНИЮ Запретить IP-камерам отправлять любые данные за пределы моей сети.
  2. Исключение: IP-камерам необходимо подключиться и отправить порт 465 (порт SMTPS) для отправки электронной почты.
  3. Исключение: я хочу, чтобы несколько IP-адресов (некоторые из них были диапазонами IP-адресов) имели возможность удаленного доступа к камере через ПОРТ. Поэтому мне нужно правило, это исключение по умолчанию.

У меня уже есть настройка переадресации портов.

Так, например: 192.168.1.2:123 (123 - это порт, который я использую для доступа к камере через браузер) - это способ подключения к ней через Интернет через браузер. Я также хочу, чтобы он был доступен не только локально, но и за пределами домашней сети, но с несколькими IP-адресами. Если вы не являетесь IP-адресом, то вы получаете УДАЛЕНО, если вы, вы приняты. Как вышибала. По сути, мой рабочий компьютер может получить доступ к этой камере через порт 123 - это то, что я пытаюсь сделать.

Я понимаю Linux и знаю некоторые флаги для IPTABLES, но их недостаточно, поэтому мне нужен эксперт.

Спасибо!

|источник

1 ответ1

0

Работа будет проще, если ваши камеры находятся в стандартной подсети. Затем вы можете упомянуть подсеть в каждом правиле, указанном ниже. В противном случае вам лучше увидеть этот пост или подобное.

После того, как вы определили, как задать диапазон IP-адресов камер, вы можете легко отбросить все пакеты, инициированные вашими камерами (предположим, что они являются TCP-соединениями), используя параметр --syn. В этом примере предполагается, что все камеры (<= 8 камер и никаких других систем) находятся в подсети 192.168.1.0/29.

#1    iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2    iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3    iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4    iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP

Добавьте # 2, только если NAT не сделан на коробке Linux.

Чтобы опубликовать камеры:

iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123

но разрешить доступ только к этим конкретным IP-адресам

iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP

Конечно, если адреса камер расположены не в одной подсети, вам нужно поменять местами 192.168.1.0/29 с IP-адресом камеры и повторить правило для каждого из них.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .