Bonjour,
J'ai une box avec derrière mon réseau local.
Sur ce réseau j'ai un serveur debian avec le web et le mail.
J'ai sur mon réseau des postes et une camera logitech.
Afin d'y acceder de l'exterieur avec mon smartphone sous Android j'ai une appli. Cela marche tres bien sur mon réseau local.
Pour pouvoir y acceder de l'extèrieur et bloquer quand même les connexions autres que la mienne, j'ai pensé router le port en entrée vers mon serveur debian et ensuite avec iptables rerouter tout cela vers ma cam.
En plus clair sur ma box qui a l'adresse ip public je redirige un port quelconque (on va dire 5000) vers l'ip privée de mon serveur.
Ma cam est configurée en IP fixe et elle écoute sur le port 554 (rtsp).
Je souhaite avec iptables rediriger le port 5000 vers l'ip de ma cam:554
Bon avec la box je peux de suite rediriger le port 5000 vers l'ip de mon serveur et le port 554 s'il le faut.
Auriez vous une piste. J'ai fait pas mal de recherche mais je bloque car cela arrive bien sur mon serveur mais cela ne vas pas plus loin.
Merci par avance.
# Pourquoi ?
Posté par chaispaquichui . Évalué à 0.
Tu dis que tu diriges d'abord vers ton serveur pour bloquer les connexions qui ne sont pas les tiennes… Comment ? Si tu as arrives depuis l'extérieur, ton IP est théoriquement imprédictible (et même si elle était prédictible, ce n'est pas une sécurité).
N'est-il pas plus logique de te connecter directement sur ton serveur (via SSH par exemple) et ensuite de te connecter sur ta caméra depuis le serveur ?
# un schéma ?
Posté par nono14 (site web personnel) . Évalué à 2.
du réseau, des ips, passerelles , bref comment c'est configuré.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
# Voici le schema
Posté par Winzclav . Évalué à 0. Dernière modification le 27 août 2012 à 18:59.
Alors au niveau schéma
Internet----IP Public-----------Box-------192.168.0.254-----------Lan
ma box est routeur donc sert de passerelle pour mon réseau vers l'internet en 192.168.0.254
Sur le lan:
un Serveur Debian (ip 192.168.0.10) heberge DNS privée, DHCP du lan, apache, sendmail
des postes locaux en DHCP
une camera en IP fixe 192.168.0.20
De ma box j'ai configuré un port 5000 dont je transfert tout le trafic sur le serveur sur le port 5000. Je ne peux rien faire d'autre que ça c'est pour cela que je souhaite restreindre avec IPtables les connexions sur ce port.
En arrivant sur le serveur je souhaite contrôler l'adresse MAC qui me permettra à ce moment la de n'autoriser que mon Smartphone sur ce port. Je souhaite après le contrôle rediriger tout le flux vers ma cam sur le port 554.
Cela me permettrait par la suite si j'ai d'autre cam de configurer un port 5001 au niveau de ma box vers le serveur et du serveur de rediriger après contrôle vers la deuxième cam … ainsi de suite.
Bon ce n'est pas sans faille mais c'est tout ce que j'ai trouvé de plus évidemment à mettre en oeuvre sauf que la je suis bloqué au niveau d'iptables :(
J'espere avoir été plus précis dans mes explications. Autrement si vous avez une autre solution je suis preneur.
Le problème est que si je test à partir d'un poste sur mon réseau local je pense qu'il arrive bien sur ma cam mais c'est le retour qui ne doit pas se faire comme je le pense.
Merci par avance pour votre aide et vos suggestions.
[^] # Re: Voici le schema
Posté par nono14 (site web personnel) . Évalué à 2. Dernière modification le 27 août 2012 à 19:51.
Tu ne peux pas filtrer sur l'adresse mac en dehors du réseau local. (adresse mac = réseau ethernet )
Quelle est la passerelle de la caméra ip?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Voici le schema
Posté par Winzclav . Évalué à 0.
Ba la passerelle pour tout le réseau c'est ma box.
Par contre je ne savais pas pour l'adresse MAc … il faut donc que je revois ma copie.
[^] # Re: Voici le schema
Posté par nono14 (site web personnel) . Évalué à 2. Dernière modification le 27 août 2012 à 20:43.
Si tu veux rediriger les paquets de ton serveur vers ta camera celle-ci doit avoir pour passerelle ton serveur, sinon ça ne fonctionne pas ( pas de retour, 2eme plage ip, … )
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Voici le schema
Posté par Winzclav . Évalué à 0.
C'est ça qui me manquait effectivement … en me refaisant un schéma plus clair je me suis dit qu'il manquait quelque chose.
Bon je vais voir si je continue sur cette voix ou si je me fais autre chose.
Dans tous les cas merci pour ton aide.
[^] # Re: Voici le schema
Posté par NeoX . Évalué à 1.
tu ne pourras pas faire ce que tu veux juste avec une redirection de port
car ton telephone en arrivant de l'exterieur, est NATé par ta box.
ton serveur recoit alors une demande en provenance de 192.168.0.254
il ne verra jamais que c'est ton telephone ou le miens.
diverses pistes :
[^] # Re: Voici le schema
Posté par Winzclav . Évalué à 0. Dernière modification le 27 août 2012 à 20:59.
Effectivement j'avais pensé au VPN car j'aurai des besoins aussi de connecter mon portable (PC) de l'extèrieur pour atteindre mon serveur.
J'ai commencé à me documenter sur OpenVPN pour voir d'un peu plus pres.
Par contre je ne pensais pas pouvoir l'utiliser avec mon smartphone.
Merci beaucoup pour cette piste qui me parle plus :)
[^] # Re: Voici le schema
Posté par netsurfeur . Évalué à 2.
Pour avoir OpenVPN sur Android, il faut soit Android 4.0 soit rooter le téléphone pour les versions antérieures.
Comme je ne voulais pas rooter mon téléphone, j'ai utilisé le client SSH Connectbot avec des redirections de ports et ça marche bien.
# Suite
Posté par Winzclav . Évalué à 0.
Heu le schéma n'est pas passé :
ma box est routeur donc sert de passerelle pour mon réseau vers l'internet en 192.168.0.254
# DNAT puis SNAT
Posté par lay . Évalué à 0.
Salut,
Premièrement tu configure ta box pour faire du DNAT vers ta debian sur le port 5000. Apparemment tu l'as déjà fait.
Le DNAT change seulement la destination du paquet, donc depuis l’extérieur tu aura accès a ta debian sur le port 5000, la debian verra arriver une connexion depuis l'IP de ton tel.
Ensuite sur la debian, il faut faire du SNAT sur le port 5000 en écoute pour rediriger le trafic vers ta caméra. Le SNAT change la source des paquets, donc ta camera verra une connexion depuis la debian alors que le paquet provient bien de ton tel. De cette manière même les paquets en retour passe par la débian, ce qui permet de maintenir l'état de la connexion et de te débarrasser de problèmes réseau.
Ensuite il faut que tu puisse laisser le trafic sur le port 5000 à la demande sur la debian. Pour ça il y à le port knocking qui répond à ton besoin.
Dans le principe une application sur ton tel essaye de se connecté a des ports bien précis chez toi, le daemon détecte la combinaison, et ajoute l'IP ayant fait la combinaison en white list un certain moment.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.