Удаленное управление Веб камерой

Вывод iptables -t nat -L -nvx

Код:

Chain PREROUTING (policy ACCEPT)
DNAT tcp --- ppp0   *  0.0.0.0/0   0.0.0.0/0   tcp   dpt:8000  to:192.168.10.1:80
DNAT all  --- ppp0   *  0.0.0.0/0   0.0.0.0/0   to:192.168.10.1

Chain POSTROUTING (policy ACCEPT)
MASQUERADE   all  --  *   ppp0  0.0.0.0/0  0.0.0.0/0

Chain OUTPUT (policy ACCEPT)

Grum_, а зачем мну нат.. у тебя ж смотри маскарад идёт.. ты лучше форвард покажи

Это Георгий нат хотел увидеть.

Вывод iptables -L FORWARD

Код:

Chain FORWARD (ACCEPT)
TCPMSS tcp -- anywhere  anywhere tcp flags: SYN, RST/SYN TCPMSS clamp to PMTU

добавлял руками такое:
ACCEPT tcp -- anywhere 192.168.10.1 tcp: dpt:www

не пашет</div>

ну не пашеть потому что у тебя и маскарад и DNAT// надо что-то одно.. так ясное дело у тебя будет на модем заварачиваца.. т.к приходящие с видео пакеты будут маскарадица на внешку, а потом приходящий пакет натица уже будет на то, что отмаскарадилось.. т.е на модем..

Ок. Очистил все цепочки. Сделал заново. Получилось:

NAT

Код:

Chain PREROUTING (policy ACCEPT)
DNAT tcp -- anywhere  anywhere  tcp   dpt:8000  to:192.168.10.1:80

Chain POSTROUTING (policy ACCEPT)

Chain OUTPUT (policy ACCEPT)

FORWARD

Код:

Chain FORWARD (ACCEPT)
ACCEPT all  --  anywhere  anywhere  state RELATED, ESTABLISHED
ACCEPT tcp  -- anywhere  192.168.10.1  tcp dpt:www

все равно не пашет.</div>

nat нужен обязательно, именно он и делает проброс портов!
показывай вот такое:
iptables -t nat -L -nvx
iptables -L -nvx

т.е. чтобы было видно не только FORWARD, но и INPUT и OUTPUT

и самое главное - убедись что на вебкамере прописан в качестве шлюза по умолчанию адрес модема.

#@$, он там точно не прописан ). ё-моё, этож надо так лопухнуться.
Чтобы проверить только ли в этом дело надо будет камеру снимать. Вечером отпишусь.</div>

Маскарадинг нужен. Иначе на компе инета не будет.

Вообщем зоопарк такой:

1. заходим телнетом
2. Убиваем правила в PREROUTING: iptables -F PREROUTING
3. Добавляем руками правило: iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to 192.168.10.1 (камера у меня уже на 8000 порту висит)

Больше ничего не меняем из того, что нам в iptables прописал модем. Цепочки INPUT, FORWARD, OUTPUT, POSTROUTING остаются без изменений.
В итоге все пашет. И инет на компе и порт пробрасывается.

PREROUTING в обоих случаях (что модем пишет, что после ручного добавления) выглядит одинаково вот так:

Код:

Chain PREROUTING (policy ACCEPT)
DNAT tcp -- anywhere  anywhere  tcp   dpt:8000  to:192.168.10.1

где-то точно не едут лыжи.
Вопрос: как сохранить настройки, пробитые руками в телнете чтобы после перезагрузки модема их не перебивать ?

Георгию: Шлюз на камере не надо прописывать. Достаточно, что в модеме стоит галка "шлюз по умолчанию" (он роутером включен).</div>

во-первых шлюз на камере надо прописывать. иначе она не будет знать через что общаться с интернетом
во-вторых сохранить телнетные настройки нельзя, копай как через веб настраивать.</div>

и подозреваю, что ты проверяешь из локалки, поэтому твое телнетное правило работает, а модемное веб-интерфейсное - нет.
проверять надо из интернета.

из инета ессно проверяю.</div>

а нафиг ей с интернетом общаться ?
вообщем вопрос не в шлюзе. без шлюза все чудесно работает. ток до первой перегрузки модема.

почему нельзя сохранить телнетные настройки ?
насколько я понимаю, с помощью веб интерфейса формируются файлы конфигов, которые модем применяет при старте.
надо ток знать где эти конфиги лежат и как туда запихнуть свои правила фаера </div>

с инетом общаться камере надо для того чтобы работало то что ты хочешь сделать - доступ к камере из интернета.
без шлюза она не будет знать о том что весь трафик надо скидывать на 10.2.
Хотя если адрес она получает от модема через DHCP, то шлюз видимо ей тоже выдается.

DNAT tcp -- anywhere anywhere tcp dpt:8000 to:192.168.10.1 - это не совсем правильное правило, оно будет в обоих направлениях работать, а должно быть что-то типа -i ppp0 - т.е. только то что вошло через PPPoE.
А при твоем правиле оно и то что наружу уходит тоже будет обрабатывать.

вообще, блин, задача на несколько минут, а убито уже несколько часов.
Лучше бы правда заплатил 500 рублей и тебе сделали бы.</div>

если проверяешь из инета, то через iptables -L -nvx
и iptables -t nat -L -nvx
ты можешь видеть по числу в первом столбце сколько раз применялось правило и применялось ли вообще.
если там ничего не меняется, то значит до этого правила не доходит вообще, кто-то перед ним обрабатывает и не пускает дальше.
Так что не удивительно, что после того как ты сделал FLUSH и добавил свой вариант - все работает. Смотри целиком какие еще есть правила и не обрабатывают ли они тот трафик который идет на камеру.</div>

Вот из этой фразы не понял что за галка в модеме и как она влияет на камеру.
Я 100% уверен, что шлюз по умолчанию должен быть указан на каждом устройстве, которое собирается обмениваться трафиком с другими устроствами за пределами локальной сети.
Так что если ты не указывал шлюз, то значит его указали за тебя (через DHCP например).
Либо если у тебя работает без шлюза, то ты обращаешься к камере, делая "NAT-Наоборот" в модеме, так что камера думает что это модем к ней обращается и видит его IP-адрес, а не удаленный IP-адрес интернет-абонента. Этот вариант тоже возможен, но это с точки зрения безопасности хуже, чем если бы ты видел (в логах) реальные IP-адреса, а не подставной адрес модема.</div>

"шлюз по умолчанию" в модеме это тот, кторый с PPP сессией выдаётся.. на инет к провайдеру.. а не тот который по DHCP..

DHCP отключен
Думаю, что именно так это и работает.</div>

так это кривой вариант.
лучше пропиши на камере шлюз 192.168.10.2 (адрес модема), а в самом модеме настрой через веб-интерфейс обычный форвардинг как делал с самых первых постов в этой теме.
а с самодельными правилами будешь после каждой перезагрузки модема их прописывать через телнет - это изврат, потому что настроить правило НАТа для цепочки POSTROUTING нельзя через веб. Оно прописывается только в виде MASQUERADE когда ты ставишь модем в режим роутера и говоришь ему выпускать всех из локалки в интернет. Других вариантов я не встречал, ибо у него предназначение как раз делать трансляцию адресов.</div>

Да прописывал я шлюз на камере. И обычный форвардинг настраивал. Точно также не работает. До тех пор пока PREROUTING руками правило не забьешь. Кстати с -i ppp0 делал.</div>

если дашь телнет - настрою
а так не могу объяснить

все. вопрос закрыт. работает с веб-морды.

leo и Георгию большое спасибо за внимание и понимание