Forum Linux.debian/ubuntu IPtables et NAT sous debian Squeeze

Posté par  .
Étiquettes :
0
26
août
2012

Bonjour,
J'ai une box avec derrière mon réseau local.
Sur ce réseau j'ai un serveur debian avec le web et le mail.
J'ai sur mon réseau des postes et une camera logitech.
Afin d'y acceder de l'exterieur avec mon smartphone sous Android j'ai une appli. Cela marche tres bien sur mon réseau local.
Pour pouvoir y acceder de l'extèrieur et bloquer quand même les connexions autres que la mienne, j'ai pensé router le port en entrée vers mon serveur debian et ensuite avec iptables rerouter tout cela vers ma cam.

En plus clair sur ma box qui a l'adresse ip public je redirige un port quelconque (on va dire 5000) vers l'ip privée de mon serveur.
Ma cam est configurée en IP fixe et elle écoute sur le port 554 (rtsp).
Je souhaite avec iptables rediriger le port 5000 vers l'ip de ma cam:554
Bon avec la box je peux de suite rediriger le port 5000 vers l'ip de mon serveur et le port 554 s'il le faut.

Auriez vous une piste. J'ai fait pas mal de recherche mais je bloque car cela arrive bien sur mon serveur mais cela ne vas pas plus loin.

Merci par avance.

  • # Pourquoi ?

    Posté par  . Évalué à 0.

    Tu dis que tu diriges d'abord vers ton serveur pour bloquer les connexions qui ne sont pas les tiennes… Comment ? Si tu as arrives depuis l'extérieur, ton IP est théoriquement imprédictible (et même si elle était prédictible, ce n'est pas une sécurité).

    N'est-il pas plus logique de te connecter directement sur ton serveur (via SSH par exemple) et ensuite de te connecter sur ta caméra depuis le serveur ?

  • # un schéma ?

    Posté par  (site web personnel) . Évalué à 2.

    du réseau, des ips, passerelles , bref comment c'est configuré.

    Système - Réseau - Sécurité Open Source

  • # Voici le schema

    Posté par  . Évalué à 0. Dernière modification le 27 août 2012 à 18:59.

    Alors au niveau schéma

    Internet----IP Public-----------Box-------192.168.0.254-----------Lan

    ma box est routeur donc sert de passerelle pour mon réseau vers l'internet en 192.168.0.254

    Sur le lan:
    un Serveur Debian (ip 192.168.0.10) heberge DNS privée, DHCP du lan, apache, sendmail
    des postes locaux en DHCP
    une camera en IP fixe 192.168.0.20

    De ma box j'ai configuré un port 5000 dont je transfert tout le trafic sur le serveur sur le port 5000. Je ne peux rien faire d'autre que ça c'est pour cela que je souhaite restreindre avec IPtables les connexions sur ce port.

    En arrivant sur le serveur je souhaite contrôler l'adresse MAC qui me permettra à ce moment la de n'autoriser que mon Smartphone sur ce port. Je souhaite après le contrôle rediriger tout le flux vers ma cam sur le port 554.
    Cela me permettrait par la suite si j'ai d'autre cam de configurer un port 5001 au niveau de ma box vers le serveur et du serveur de rediriger après contrôle vers la deuxième cam … ainsi de suite.

    Bon ce n'est pas sans faille mais c'est tout ce que j'ai trouvé de plus évidemment à mettre en oeuvre sauf que la je suis bloqué au niveau d'iptables :(

    J'espere avoir été plus précis dans mes explications. Autrement si vous avez une autre solution je suis preneur.
    Le problème est que si je test à partir d'un poste sur mon réseau local je pense qu'il arrive bien sur ma cam mais c'est le retour qui ne doit pas se faire comme je le pense.

    Merci par avance pour votre aide et vos suggestions.

    • [^] # Re: Voici le schema

      Posté par  (site web personnel) . Évalué à 2. Dernière modification le 27 août 2012 à 19:51.

      Tu ne peux pas filtrer sur l'adresse mac en dehors du réseau local. (adresse mac = réseau ethernet )

      Quelle est la passerelle de la caméra ip?

      Système - Réseau - Sécurité Open Source

      • [^] # Re: Voici le schema

        Posté par  . Évalué à 0.

        Ba la passerelle pour tout le réseau c'est ma box.
        Par contre je ne savais pas pour l'adresse MAc … il faut donc que je revois ma copie.

        • [^] # Re: Voici le schema

          Posté par  (site web personnel) . Évalué à 2. Dernière modification le 27 août 2012 à 20:43.

          Si tu veux rediriger les paquets de ton serveur vers ta camera celle-ci doit avoir pour passerelle ton serveur, sinon ça ne fonctionne pas ( pas de retour, 2eme plage ip, … )

          Système - Réseau - Sécurité Open Source

          • [^] # Re: Voici le schema

            Posté par  . Évalué à 0.

            C'est ça qui me manquait effectivement … en me refaisant un schéma plus clair je me suis dit qu'il manquait quelque chose.
            Bon je vais voir si je continue sur cette voix ou si je me fais autre chose.

            Dans tous les cas merci pour ton aide.

    • [^] # Re: Voici le schema

      Posté par  . Évalué à 1.

      De ma box j'ai configuré un port 5000 dont je transfert tout le trafic sur le serveur sur le port 5000. Je ne peux rien faire d'autre que ça c'est pour cela que je souhaite restreindre avec IPtables les connexions sur ce port.

      En arrivant sur le serveur je souhaite contrôler l'adresse MAC qui me permettra à ce moment la de n'autoriser que mon Smartphone sur ce port. Je souhaite après le contrôle rediriger tout le flux vers ma cam sur le port 554.
      Cela me permettrait par la suite si j'ai d'autre cam de configurer un port 5001 au niveau de ma box vers le serveur et du serveur de rediriger après contrôle vers la deuxième cam … ainsi de suite.

      tu ne pourras pas faire ce que tu veux juste avec une redirection de port
      car ton telephone en arrivant de l'exterieur, est NATé par ta box.

      ton serveur recoit alors une demande en provenance de 192.168.0.254
      il ne verra jamais que c'est ton telephone ou le miens.

      diverses pistes :

      • le tunnel ssh :
        • tu regles une redirection de port de ta box vers le port ssh de ton serveur.
        • de l'exterieur tu te connectes avec un ssh -L 5554:ip-camera:554 utilisateur@ip-internet-de-la-box
        • une fois connecté tu lances ton visualiseur de la camera sur localhost:5554
      • le vpn :
        • un serveur vpn sur ton serveur
        • un client vpn sur ton telephone, qui va tout renvoyer, ou seulement le trafic vers 192.168.0.0/24, dans le vpn nouvellement creer.
        • une fois connecté, tu lances ton visualiseur comme si tu etais chez toi en wifi, meme adresse, meme port.
      • [^] # Re: Voici le schema

        Posté par  . Évalué à 0. Dernière modification le 27 août 2012 à 20:59.

        Effectivement j'avais pensé au VPN car j'aurai des besoins aussi de connecter mon portable (PC) de l'extèrieur pour atteindre mon serveur.
        J'ai commencé à me documenter sur OpenVPN pour voir d'un peu plus pres.
        Par contre je ne pensais pas pouvoir l'utiliser avec mon smartphone.

        Merci beaucoup pour cette piste qui me parle plus :)

        • [^] # Re: Voici le schema

          Posté par  . Évalué à 2.

          Pour avoir OpenVPN sur Android, il faut soit Android 4.0 soit rooter le téléphone pour les versions antérieures.

          Comme je ne voulais pas rooter mon téléphone, j'ai utilisé le client SSH Connectbot avec des redirections de ports et ça marche bien.

  • # Suite

    Posté par  . Évalué à 0.

    Heu le schéma n'est pas passé :

    ma box est routeur donc sert de passerelle pour mon réseau vers l'internet en 192.168.0.254

  • # DNAT puis SNAT

    Posté par  . Évalué à 0.

    Salut,

    Premièrement tu configure ta box pour faire du DNAT vers ta debian sur le port 5000. Apparemment tu l'as déjà fait.
    Le DNAT change seulement la destination du paquet, donc depuis l’extérieur tu aura accès a ta debian sur le port 5000, la debian verra arriver une connexion depuis l'IP de ton tel.

    Ensuite sur la debian, il faut faire du SNAT sur le port 5000 en écoute pour rediriger le trafic vers ta caméra. Le SNAT change la source des paquets, donc ta camera verra une connexion depuis la debian alors que le paquet provient bien de ton tel. De cette manière même les paquets en retour passe par la débian, ce qui permet de maintenir l'état de la connexion et de te débarrasser de problèmes réseau.

    Ensuite il faut que tu puisse laisser le trafic sur le port 5000 à la demande sur la debian. Pour ça il y à le port knocking qui répond à ton besoin.
    Dans le principe une application sur ton tel essaye de se connecté a des ports bien précis chez toi, le daemon détecte la combinaison, et ajoute l'IP ayant fait la combinaison en white list un certain moment.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.