Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Accesso in remoto alla IPCAM

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
cometa1975



Registrato: 15/07/09 10:59
Messaggi: 9

MessaggioInviato: Sab Dic 11, 2010 11:52 am    Oggetto: Accesso in remoto alla IPCAM Rispondi citando

Buongiorno,

è da svariato tempo che ho il problema in oggetto e non riesco proprio a risolverlo.
Perdonatemi, ma non sono un esperto, ma uno msmanettone sicuramente.
Allora la configurazione della mia macchina zeroshell è la seguente:

ETH00 100Mb/s Full Duplex
Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) UP

192.168.0.75 255.255.255.0
ETH01 100Mb/s Full Duplex
Intel Corporation 82557/8/9/0/1 Ethernet Pro 100 (rev 05) UP

192.168.1.199 255.255.255.0

Dove ETH01 è collegata al gateway di Tiscali ed ETH00 alla Lan interna.
La mia IPCAM sta sul 192.168.0.105 porta 8005.
Avendo configurato il servizio Dyndns per avere un indirizzo sempre univoco, non c'è verso di accedere dall'esterno.

Potete aiutarmi a capire cosa altro devo configurare?

Sul firewall in INPUT (DROP) ho impostato le seguenti chain:

1 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 192.168.0.0-192.168.0.255 destination IP range 192.168.0.0-192.168.0.255 state NEW,RELATED,ESTABLISHED,UNTRACKED no
2 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 192.168.1.199 source IP range 192.168.0.102-192.168.0.108 state NEW,RELATED,ESTABLISHED tcp spts:1759:1761 dpts:!1759:1761 yes
3 * * ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 192.168.1.199 source IP range 192.168.0.102-192.168.0.108 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED LAYER7 l7proto edonkey udp spts:1763:1765 dpts:1763:1765 yes
4 * * ACCEPT udp opt -- in * out * 192.168.0.105 -> 192.168.0.199 MAC 00:60:6E:8C:47:BD state NEW,RELATED,ESTABLISHED udp spt:8005 dpt:8005 yes
5 * * ACCEPT tcp opt -- in * out * 192.168.0.105 -> 192.168.1.199 MAC 00:60:6E:8C:47:BD state NEW,RELATED,ESTABLISHED tcp spt:8005 dpt:80 no
6 * * ACCEPT tcp opt -- in * out * 192.168.0.102 -> 192.168.0.199 state NEW,RELATED,ESTABLISHED LAYER7 l7proto smtp tcp spt:465 dpt:465 no
7 * * ACCEPT tcp opt -- in * out * 192.168.0.102 -> 192.168.0.199 state NEW,RELATED,ESTABLISHED LAYER7 l7proto pop3 tcp spt:995 dpt:995 no
8 * * ACCEPT tcp opt -- in * out * 192.168.0.101 -> 0.0.0.0/0 state NEW,RELATED,ESTABLISHED LAYER7 l7proto ftp tcp spts:20:21 dpts:20:21 no

mentre in FORWARD (ACCEPT) ho:

Seq Input Output Description Log Active
1 ETH00 ETH01 ACCEPT tcp opt -- in ETH00 out ETH01 192.168.0.105 -> 0.0.0.0/0 LAYER7 l7proto httpvideo tcp spt:8005 no
2 ETH01 ETH00 ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.0.105 tcp spt:8005 dpt:8005 no

Grazie molte.

Bruno
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Sab Dic 11, 2010 12:55 pm    Oggetto: Rispondi citando

la cosa migliore sarebbe entrare in vpn , altrimenti devi fare un port-forwarding.
sul firewall , a prima vista , mi sembra ci sia un pò di confusione Rolling Eyes Rolling Eyes , ma potrei sbagliarmi Laughing Laughing .
cosa vorresti fare esattamente con il firewall ?? ( a parte permettere l'accesso alla webcam )
Top
Profilo Invia messaggio privato
cometa1975



Registrato: 15/07/09 10:59
Messaggi: 9

MessaggioInviato: Sab Dic 11, 2010 7:59 pm    Oggetto: Accesso in remoto alla IPCAM Rispondi citando

Ciao,

innanzi tutto grazie per la risposta.
Quello che vorrei riuscire a fare è accedere alla IPCAM anche dall'esterno.
Attalmente riesco a vedere le immagini della cam solo dalla intranet, ovvero accedendo con l'IP 192.168.0.105 sulla porta 8005.
Invece accedendo dall'esterno con l'IP assegnato da Tiscali con la porta 8005 non si riesce ad accedere. Question

Grazie molte per ogni suggerimento.
Sul fatto che le mie idee siano poche ed anche confuse non c'è alcun dubbio.
Very Happy

Bruno
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Sab Dic 11, 2010 8:14 pm    Oggetto: Rispondi citando

la connessione ad internet la effettui con un modem ( ZS con pppoe su ETH01 ) , oppure sei collegato ad un modem-router ?
Top
Profilo Invia messaggio privato
cometa1975



Registrato: 15/07/09 10:59
Messaggi: 9

MessaggioInviato: Dom Dic 12, 2010 5:36 pm    Oggetto: Accesso in remoto alla IPCAM Rispondi citando

Ciao,

allora vediamo se riesco a spiegarmi.
Per connettermi alla flat ADSL di Tiscali utilizzo il loro modem che è raggiungibile all'indirizzo 192.168.1.1 ed è collegato alla ETH01 di ZS (192.168.1.199).
La routing table che attualmente è configurata è la seguente:

ROUTING TABLE Static Dynamic Auto

--------------------------------------------------------------------------------
Destination Netmask Type Metric Gateway Interface Flags State Source
192.168.1.199 255.255.255.255 Host 1 none ETH00 UH Up Static
192.168.1.0 255.255.255.0 Net 0 none ETH01 U Up Auto
192.168.0.0 255.255.255.0 Net 0 none ETH00 U Up Auto
DEFAULT GATEWAY 0.0.0.0 Net 0 192.168.1.1 ETH01 UG Up Static

Qualora sia importante la versione di ZS è Release 1.0.beta12.

Spero di aver risposto alla tua domanda oppure essere riuscito a fornirti le informazioni necessarie ad aiutarmi.
Grazie ancora.

Ciao.

Bruno
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Lun Dic 13, 2010 5:23 pm    Oggetto: Rispondi citando

Ciao Bruno,
per prima cosa , dovresti vedere se riesci a gestire il router di tiscali .
Se lo usi solo come accesso ad internet e la tua rete è tutta dietro lo ZS ,
potresti fare una dmz sull'ip dell ETH01 di ZS ,
cosi tutte le richieste che arrivano dall'esterno verranno reindirizzate allo ZS .
Su quasi tutti i router "da scaffale " è possibile . Sullo ZS , in Router>>Virtual Server ,
va impostata una regola del tipo

Input Interface ETH01 IP Address any Proto tcp Local Port 8005 Remote IP 192.168.0.105 Remote Port 8005 .

nel Firewall ,cosi' come è settato ora ,in Forward le prime due regole fanno passare ciò che ha un match ,
e tutto il resto.... passa comunque , con la policy di default ad Accept ....
per fare delle prove ,togli quelle due regole nella chain di forward
e lascia la policy di default ad accept . La chain di input ,
è relativa a processi dello ZS (update , ntp , dyndns, dhcp, proxy, ecc. ) e ,
a parte il proxy , non ha a che fare con i pacchetti in transito da pc verso internet e vice -versa, .
Se anche in fase di test vorresti comunque un minimo di protezione ,
metti come policy di default accept sia sulla chain di input che di forward (abilita i log),
poi , in input 2 rules

1 ETH01 * ACCEPT all opt -- in ETH01 out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED
2 ETH00 * ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0

salvi , e cambi la policy di default a DROP

in forward

1 ETH01 ETH00 ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> tcp 192.168.0.105 dpt:8005
2 ETH01 ETH00 ACCEPT all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.0.0/24 state RELATED,ESTABLISHED
3 ETH00 ETH01 ACCEPT all opt -- in ETH00 out * 192.168.0.0/24 -> 0.0.0.0/0

salvi , e cambi la policy di default a DROP

per accedere dall'esterno alla webcam , http://tuonome.dyndns.org:8005
Top
Profilo Invia messaggio privato
cometa1975



Registrato: 15/07/09 10:59
Messaggi: 9

MessaggioInviato: Lun Dic 13, 2010 6:21 pm    Oggetto: Accesso in remoto alla IPCAM Rispondi citando

Ciao Redfive,

grazie ancora per il tuo aiuto.
Quanto scritto sicuramente è di grande aiuto per comprendere meglio come funzioni il mio "amico" Wink ZS e spero che ciò sia vero non solo per me, ma possa esserlo anche per altri che ci leggono.
Ad ogni modo sto provando ad applicare i tuoi consigli, ovvero:

1) ho impostato in VIRTUAL SERVERS (TCP/UDP Port Forwarding) la regola:

ETH01 / ANY TCP 8005 192.168.0.105:8005

2) ho modificato le policy INPUT e FORWARD mettendo tutto su ACCEPT.

Purtroppo il risultato è che accedendo con l'indirzzo assegnatomi ovvero:
http://mioaddress.dyndns.org:8005/ il messaggio di errore è sempre lo stesso: "Internet Explorer: impossibile visualizzare la pagina Web".

A questo punto ho cercato di verificare il primo suggerimento ovvero quello di impostare il modem di tiscali in modo che demandi tutta la gestione a ZS, ma tale opzione è assente (DMZ se non ricordo male).
Le "leve che ho a disposizione con il modem di tiscali sono solo quelle che riguardano le seguenti voci:

NAT
» Address Mapping
» Virtual Server
» Special Application
» NAT Mapping Table

e che avevo configurato prima di istallare ZS, per aprire le porte di Emule, ma che ora, coorreggimi se sbaglio, dovrebbero essere "ininfluenti".
L'unico dubbio che mi viene a questo punto è se debba essere disabilitata la seguente impostazione:

NAT Settings
Network Address Translation (NAT) allows multiple users at your local site to access the Internet through a single public IP address or multiple public IP addresses. NAT can also prevent hacker attacks by mapping local addresses to public addresses for key services such as the Web or FTP.

Enable or disable NAT module function : Enable Disable

che al momento è settata su enable, ma non vorrei fare casini...
Mi rimetto nelle tue/vostre mani.
A prima di salutarti, ma che sia il caso di cambiare modem?

Grazie, ciao.

Bruno
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Lun Dic 13, 2010 6:33 pm    Oggetto: Rispondi citando

Se disabiliti il nat , non navighi piu'......
nel virtual server del router di tiscali , fai un port-forwarding sull'IP della ETH01 di ZS , sulla porta tcp 8005
che modello di router utilizzi per tiscali ??
Top
Profilo Invia messaggio privato
cometa1975



Registrato: 15/07/09 10:59
Messaggi: 9

MessaggioInviato: Lun Dic 13, 2010 8:13 pm    Oggetto: Accesso in remoto alla IPCAM Rispondi citando

GRAZIEEEEEEEEEE!!!!!!!

Ora va. Non sono riuscito a capire quale fosse in realtà il settaggio errato, perchè mi ero accorto che quando avevo impostato tutte le policy su accept, in realtà c'era qualche problema sulla wifi e la telecamera non si vedeva neanche all'interno della LAN..
Quindi staccato la corrente, collegata col cavo e PAM, finalmente si vede anche dall'indirizzo Dyndns!!! Rimessa in wifi e continua a funzionare...

Wow!!! Grazie molte.

Ora ho impostato le regole in INPUT del firewall che mi hai suggerito, tuttavia mi chiedevo se questa impostazione non renda la mia rete più vulnerabile.. In realtà io avevo provato a settare quelle regole per utilizzare ZS come firewall, ma probabilmente dovrei rivedere un po' tutto a questo punto..
Mah!!! Che brutta cosa l'ignoranza...

Grazie ancora comunque.

Ciao.

Bruno
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it