Como faço para bloquear o tráfego de saída, exceto alguns IPs via IPTables?

0

Eu tenho um roteador sem fio da Asus que pisca com o MERLIN. Eu também possuo várias câmeras IP conectadas via Wifi. Quero impedir que as câmeras IP tentem ligar para casa desabilitando a saída. O que eu fiz com isso

No entanto, existem algumas coisas que eu gostaria de fazer.

  1. BY DEFAULT Evite que câmeras IP enviem dados fora da minha rede.
  2. Exceção: as câmeras IP precisam se conectar e enviar para a porta 465 (porta SMTPS) para enviar um e-mail.
  3. Exceção: Eu quero um punhado de endereços IP (alguns são intervalos de IP) para poder acessar remotamente a câmera via PORT. Então, eu preciso de uma regra é uma exceção ao padrão.

Já tenho a configuração de encaminhamento de porta.

Assim, por exemplo: 192.168.1.2:123 (123 é a porta que eu uso para acessar a câmera via navegador) é a maneira que eu posso conectá-lo on-line via navegador. Eu também quero que seja acessível não apenas localmente, mas fora da rede doméstica, mas com um punhado de IPs. Se você não é o endereço IP, então você é SAÍDO se você for aceito. Como um segurança. Então, essencialmente, meu computador de trabalho pode acessar essa câmera pela porta 123, é o que estou tentando fazer.

Eu entendo linux e conheço algumas das bandeiras do IPTABLES, mas não o suficiente, então preciso de um especialista.

Obrigado!

    
por Simon Song 08.04.2018 / 07:44

1 resposta

0

O trabalho será mais fácil se suas câmeras estiverem em uma sub-rede padrão. Então você pode mencionar a sub-rede em cada regra mencionada abaixo. Caso contrário, é melhor você ver este post ou semelhante.

Depois de lidar com o modo de especificar a faixa de câmeras IP, você pode facilmente descartar todos os pacotes iniciados por suas câmeras (supondo que sejam conexões tcp) usando a opção --syn. Este é um exemplo assumindo que todas as câmeras (< = 8 câmeras e nenhum outro sistema) estão em uma sub-rede de 192.168.1.0/29

#1    iptables -A FORWARD -s 192.168.1.0/29 -p tcp --dport 465 -j ACCEPT
#2    iptables -A FORWARD -d 192.168.1.0/29 -p tcp --sport 465 -j ACCEPT
#3    iptables -A FORWARD -s 192.168.1.0/29 -p tcp --syn -j DROP
#4    iptables -A FORWARD -s 192.168.1.0/29 -p udp -j DROP

Adicione # 2 somente se o NAT não for feito na caixa do Linux.

Para publicar cames:

iptables -t nat -A PREROUTING -p tcp --dport 1202 -j DNAT 192.168.1.2:123
iptables -t nat -A PREROUTING -p tcp --dport 1203 -j DNAT 192.168.1.3:123
iptables -t nat -A PREROUTING -p tcp --dport 1204 -j DNAT 192.168.1.4:123

mas deixe apenas esses endereços IP específicos acessá-los:

iptables -A FORWARD -s trustedip1 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip2 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -s trustedip3 -d 192.168.1.0/29 -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/29 -p tcp --dport 123 -j DROP

É claro que se os endereços das câmeras não estiverem bem em uma sub-rede, você terá que trocar 192.168.1.0/29 pwith endereço IP da câmera e repetir a regra para cada um.

    
por 08.04.2018 / 08:31