Вопрос глупый наверное и решается легко

Ну что ты за мудило? Вопрос риторический. Иди на стройку работать. Зачем таких дегенератов брать на работу в IT?

Ты из какой сети подключаешься?

Из 192.168.0.0/24

Есть IT-шный препод Московский, Кирилл Семаев, у него канал на ютубе для вообще конкретных чайников. Рекомендую к просмотру. А именно по твоему вопросу ответ опять же от этого чувака смотри тут

У 10.18.16.2 дефолт должен быть 10.18.16.1, после чего настраиваешь dnat из 192.168… на 10.18.16.2 порт 554

Это в цепочке INPUT делается

Если RTSP, то да, 554 порт. Веб морду пробросить можно только на другой порт, если иптаблесами.

А можете пример подсказать? Организация небольшая, я редко занимаюсь сетевыми настройками. Поднял сервак, доступ к сети, DHCP, прокси и виртуальный интерфейс для сетки 10.18.16.0/24 да закинул в угол. Уже год как не ковырял. Мало смыслю в iptables, особенно при настройке на другие интерфейсы.

Можно посмотреть то что сейчас в твоей таблице Iptables?

в CentOS 7 порты нужно открывать через firewall-cmd. Вбей это в поиск и получишь массу исчерпывающих ответов

Chain INPUT (policy DROP 198 packets, 35109 bytes) pkts bytes target prot opt in out source destination
0 0 DROP tcp – * * !127.0.0.1 0.0.0.0/0 tcp dpt:3128 3 151 DROP all – * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 REJECT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset 17 1187 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP all – enp1s0 * 127.0.0.0/8 0.0.0.0/0
3439 1396K ACCEPT all – lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – tun+ * 0.0.0.0/0 0.0.0.0/0
16300 1214K ACCEPT all – enp3s2 * 0.0.0.0/0 0.0.0.0/0
16 464 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT icmp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT udp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT tcp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68 3 164 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:80 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:443 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:22 0 0 ACCEPT tcp – * * 0.0.0.0/0 172.16.7.206 tcp dpt:81 671 73206 ACCEPT udp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 1203 1041K ACCEPT tcp – enp1s0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
58596 32M ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all – pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – tun+ * 0.0.0.0/0 0.0.0.0/0
8168 520K ACCEPT all – enp3s2 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
3450 1396K ACCEPT all – * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * pptp+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * tun+ 0.0.0.0/0 0.0.0.0/0
14183 2787K ACCEPT all – * enp3s2 0.0.0.0/0 0.0.0.0/0
17 573 ACCEPT icmp – * enp1s0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp – * enp1s0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 0 0 ACCEPT tcp – * enp1s0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 1 60 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp – * enp1s0 172.16.7.206 0.0.0.0/0 tcp spt:81 1900 215K ACCEPT all – * enp1s0 0.0.0.0/0 0.0.0.0/0

а nat то зачем? вроде нужно просто роутинг из одной сети в другую настроить

Ну вот я и не знаю как быть. Я в этом вопросе зеленый. Мне ближе 1С и программирование, чем сети. Сетевой шлюз настроил год назад и забыл. Шуршит себе в углу.

Самое интересное - веб. интерфейс регистратора то доступен. Можно спокойно настройки менять. Но весь функционал, связанный с видео-потоком и просмотром не работает…

Хотя если цепануть регистратор к сети 192.168.0.0/24 то разумеется все ОК. А вот если за шлюз подключить к оборудованию провайдера - то такая фигня. Причем дело в шлюзе, подключал через него. Он не пропускает… Firewall отключен, прокси фильтр тоже вырубал.

Вывод потому и сделал что проблема в портах. Доступ то к устройству есть, да работает не все…

Что ВЫ за мудило, раз с ходу так отвечаете на просьбы о помощи? Мне сети ни к чему в основном. Такова специфика работы, а опыт вещь такая - есть не всегда. Я к сетевым настройкам прибегаю редко.

Сетевой шлюз настроил и закинул в угол. Работает себе спокойно и меня радует своей стабильной работой уже более года.

Основная специфика моей работы - 1С, офисная техника, различное бухгалтерское ПО, видеонаблюдение и т.д.

Столкнулся с неизведанным и полез на форум, как тут же получил такое… Спасибо. Ноунеймы в сети как обычно.

1.Покажите выхлопы

ip a
ip r s 
iptables-save

У 10.18.16.2 (видеорегистратора) шлюз по умолчанию - 10.18.16.1 (IP виртуального интерфейса сетевого шлюза организации).

Я обязательно предоставлю, но завтра. Сейчас не на работе.

бля, мужики, 30ое декабря, хватит дегенерировать, ну

Вам iptables в данной задаче вообще не нужны. Разве что для разрешения форвардинга пакетов из сети 10.18.16.0/24 в сеть 192.168.0.0/24 и наоборот. Ну и не NATить пакеты из 192.168.0.0, которые идут в сеть 10.18.16.0. В этом случае Вы будете видеть все хосты в сети 10.18.16.0 и сможете подключаться к видеорегистратору по его прямому адресу - 10.18.16.2.

Да к в том и загвоздка - я спокойно подключаюсь к 10.18.16.2, по факту просто подняв виртуальный интерфейс enp1s0:0 не сетевом шлюзе. Захожу на веб-морду регистратора, могу менять настройки. Но видеопоток просматривать не могу. Если же подключить регистратор в сеть 192.168.0.0/24, то все работает. Но это перед сетевым шлюзом, а обстоятельства таковы - что его нужно установить за ним, в сети 10.18.16.0/24.

ip a

ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:25:22:04:15:03 brd ff:ff:ff:ff:ff:ff inet 172.16.7.206/24 brd 172.16.7.255 scope global enp1s0 valid_lft forever preferred_lft forever inet 10.18.16.1/24 brd 10.18.16.255 scope global enp1s0:0 valid_lft forever preferred_lft forever inet6 fe80::225:22ff:fe04:1503/64 scope link valid_lft forever preferred_lft forever 3: enp3s2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether e8:de:27:03:96:b6 brd ff:ff:ff:ff:ff:ff inet 192.168.0.1/24 brd 192.168.0.255 scope global enp3s2 valid_lft forever preferred_lft forever inet6 fe80::eade:27ff:fe03:96b6/64 scope link valid_lft forever preferred_lft forever <<<

ip r s

default via 172.16.7.254 dev enp1s0 10.18.16.0/24 dev enp1s0 proto kernel scope link src 10.18.16.1 172.16.7.0/24 dev enp1s0 proto kernel scope link src 172.16.7.206 192.168.0.0/24 dev enp3s2 proto kernel scope link src 192.168.0.1 <<<

ifconfig

enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.16.7.206 netmask 255.255.255.0 broadcast 172.16.7.255 inet6 fe80::225:22ff:fe04:1503 prefixlen 64 scopeid 0x20 ether 00:25:22:04:15:03 txqueuelen 1000 (Ethernet) RX packets 3802880 bytes 1679476017 (1.5 GiB) RX errors 0 dropped 3221 overruns 0 frame 0 TX packets 3832317 bytes 3554370221 (3.3 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 enp1s0:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 10.18.16.1 netmask 255.255.255.0 broadcast 10.18.16.255 ether 00:25:22:04:15:03 txqueuelen 1000 (Ethernet) enp3s2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 inet6 fe80::eade:27ff:fe03:96b6 prefixlen 64 scopeid 0x20 ether e8:de:27:03:96:b6 txqueuelen 1000 (Ethernet) RX packets 7836335 bytes 7658911063 (7.1 GiB) RX errors 0 dropped 12432 overruns 0 frame 0 TX packets 7327515 bytes 6537542119 (6.0 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1000 (Local Loopback) RX packets 961546 bytes 1780674901 (1.6 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 961546 bytes 1780674901 (1.6 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 <<<

iptables-save

Generated by iptables-save v1.4.21 on Tue Dec 31 08:34:55 2019 PREROUTING ACCEPT [479234:31453057] INPUT ACCEPT [70597:4741643] OUTPUT ACCEPT [16071:1061855] POSTROUTING ACCEPT [3194:274848] -A PREROUTING -d 192.168.0.1/32 -p tcp -m tcp –dport 80 -j ACCEPT -A PREROUTING -d 172.16.7.206/32 -p tcp -m tcp –dport 80 -j ACCEPT -A PREROUTING -i enp3s2 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080 -A POSTROUTING -o tun+ -j ACCEPT -A POSTROUTING -o enp1s0 -j MASQUERADE COMMIT Completed on Tue Dec 31 08:34:55 2019 Generated by iptables-save v1.4.21 on Tue Dec 31 08:34:55 2019 *mangle :PREROUTING ACCEPT [11272086:10929620202] :INPUT ACCEPT [5604169:6834652111] :FORWARD ACCEPT [5459499:4084292895] :OUTPUT ACCEPT [3487255:7541625119] :POSTROUTING ACCEPT [8947002:11625971178] -A FORWARD -o ppp+ -p tcp -m tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu COMMIT Completed on Tue Dec 31 08:34:55 2019 Generated by iptables-save v1.4.21 on Tue Dec 31 08:34:55 2019 *filter :INPUT DROP [11634:2092495] :FORWARD DROP [4:6188] :OUTPUT DROP [0:0] :DROP-lan - [0:0] -A INPUT ! -s 127.0.0.1/32 -p tcp -m tcp –dport 3128 -j DROP -A INPUT -m state –state INVALID -j DROP -A INPUT -p tcp -m tcp –tcp-flags SYN,ACK SYN,ACK -m state –state NEW -j REJECT –reject-with tcp-reset -A INPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j DROP -A INPUT -s 127.0.0.0/8 -i enp1s0 -j DROP -A INPUT -i lo -j ACCEPT -A INPUT -i pptp+ -j ACCEPT -A INPUT -i tun+ -j ACCEPT -A INPUT -i enp3s2 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 0 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 3 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 8 -j ACCEPT -A INPUT -i enp1s0 -p icmp -m icmp –icmp-type 11 -j ACCEPT -A INPUT -i enp1s0 -p udp -m udp –sport 67 –dport 68 -j ACCEPT -A INPUT -i enp1s0 -p tcp -m tcp –sport 67 –dport 68 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -d 172.16.7.206/32 -p tcp -m tcp –dport 81 -j ACCEPT -A INPUT -i enp1s0 -p udp -m udp –dport 1024:65535 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i enp1s0 -p tcp -m tcp –dport 1024:65535 -m state –state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i pptp+ -j ACCEPT -A FORWARD -i tun+ -j ACCEPT -A FORWARD -i enp3s2 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o pptp+ -j ACCEPT -A OUTPUT -o tun+ -j ACCEPT -A OUTPUT -o enp3s2 -j ACCEPT -A OUTPUT -o enp1s0 -p icmp -j ACCEPT -A OUTPUT -o enp1s0 -p udp -m udp –sport 68 –dport 67 -j ACCEPT -A OUTPUT -o enp1s0 -p tcp -m tcp –sport 68 –dport 67 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 80 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 443 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 22 -j ACCEPT -A OUTPUT -s 172.16.7.206/32 -o enp1s0 -p tcp -m tcp –sport 81 -j ACCEPT -A OUTPUT -o enp1s0 -j ACCEPT -A DROP-lan -j DROP COMMIT <<<

Причина найдена

Ломал голову не там где нужно, а еще невнимательность сыграла свою роль. Отключил лишь одну службу прокси-фильтра, в то время как вторая работала и, падла, рубила видеопоток.

Стопарнул вторую и все заработало. Сейчас всковырну правила и настрою, либо кину IP в исключения.

Всем спасибо за помощь!

На будущее, убедительная просьба использовать теги разметки, когда выкладываете конфиги или логи. Иначе читать эту кашу очень сложно :(.

ноунеймы в сети его беспокоят. сложно разметку освоить и кнопка «предпросмотр» не для тебя любезный?!