не получается настроить переадресацию портов

[electrikd]

Добрый день. Прошу помощи.
Задача: получить доступ к видеорегистратору в локальной сети из вне.
В наличии Ubuntu server 14.01 LTS& Zentyal 4.0, два интерфейса eth0 смотрит в инет через DSL модем, PPPoE, статический IP 8.8.8.8 (пример), DSL модем настроен как мост;  eth1 смотрит в локальную сеть, статический IP 192.168.50.254.
Видеорегистратор статический IP 192.168.50.230, шлюз 192.168.50.254, порт медиа 9000, порт вэб 9002, порт 3G 00101.
В локалке видеорегистратор виден по всем портам.
В Zentyal файрволом делаю проброс портов.
Interface                                         - eth0
Original destination                         - Zentyal (пробовал писать внешний IP)
Protocol                                          - TCP/UDP
Original destination port                 - 9002 (пробовал коннектиться на другой порт)
Source                                            - any
Destination IP                                 - 192.168.50.230
Port                                                 - same (пробовал прописывать порт явно 9002)

Хождение в сети все открыто. После установки Zentyal ничего не правилось.
Проверяю порты на сайте 2ip.ru, порт открыт.
Набираю в браузере 8.8.8.8:8443 - попадаю на вэбморду Zentyal, набираю 8.8.8.8:9002 - ничего.
Подскажите пожалуйста новичку, что я сделал не так.

[luha]

Может нужно в "Packet Filter" разрешить таким портам работать?

[electrikd]

Создал службу DVR1, вписал все порты в свойства службы.
В - Packet Filter ❱ Traffic coming out from Zentyal создаю роль
Decision  accept
Destination any
Service DVR

Пробовал с правилами и без правил переадресации портов
Не помогает.

[luha]

Может эта камера хочет ещё какие-нибудь порты. Попробуй для теста все разрешить и порты и протоколы при перенаправлении.

[electrikd]

Добрый день.
А куда писать то?
Если есть мысли, подскажите в чем я не прав.

[electrikd]

Добрый день, коллеги. Очень прошу помощи и не ругайте меня за возможные глупости.
Возвращаюсь к теме. Вопрос так и остался открытым.
Все порты и протоколы разрешить пробовал. Сейчас Zen настроен по умолчанию, открыта любая активность.
Задача — попасть из вне на DVR в локальной сети IP 192.168.50.230, DVR вещает по портам: 102 для мобильных, 9000 для клиентского ПО, 8080 вэбморда. Внутри локальной сети коннект с DVR работает по всем трем портам.

Я распишу все как настроено.

Соединение с провайдером:
DSL router, на нем PPPoE, фиксированный IP 89.215.165.15, соединение есть.
DHCP роутера раздал фиксированный IP 192.168.1.11 внешней карте Zen (eth0).
Настроил проброс TCP/UDP 1-65535 с PPPoE на 192.168.1.11.
Тут все просто.

Теперь настройки Zen:
В наличии Ubuntu Server 14.04&Zentyal 4.2
Eth0 - внешняя, IP 192.168.1.11 DHCP фиксированный
Eth1 - смотрит в локалку, IP 192.168.50.254 статический
Подняты DHCP, Domen, DNS, Firewall, NTP, Proxy.
Инет есть, юзвери ходят свободно внутри и наружу.
В Firewall>Packet Filter настройки по умолчанию после установки, т.е. разрешено все между сетями и так же между локальной и внешней сетью. Хождение из вне и из локалки на Zen так же по умолчанию, стандартный набор правил, добавил в Internal networks to Zentyal и в External networks to Zentyal разрешение на Zentyal Webadmin.
Теперь в Firewall>Port Forwarding настраиваю проброс портов
Interface - eth0
Original destination - Zentyal
Protocol - TCP/UDP
Original destination port - 9291
Source - Any
Destination IP - 192.168.50.230
Port - 8080

Вот результат iptables-save

Code: [Select]

# Generated by iptables-save v1.4.21 on Sat Jan 28 11:49:18 2017
*nat
:PREROUTING ACCEPT [105:11955]
:INPUT ACCEPT [49:5386]
:OUTPUT ACCEPT [76:6032]
:POSTROUTING ACCEPT [50:4146]
:postmodules - [0:0]
:premodules - [0:0]
-A PREROUTING -j premodules
-A PREROUTING -d 192.168.1.11/32 -i eth0 -p tcp -m tcp --dport 9291 -j DNAT --to-destination 192.168.50.230:8080
-A PREROUTING -d 192.168.1.11/32 -i eth0 -p udp -m udp --dport 9291 -j DNAT --to-destination 192.168.50.230:8080
-A POSTROUTING -j postmodules
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Jan 28 11:49:18 2017
# Generated by iptables-save v1.4.21 on Sat Jan 28 11:49:18 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:drop - [0:0]
:faccept - [0:0]
:fdns - [0:0]
:fdrop - [0:0]
:ffwdrules - [0:0]
:fglobal - [0:0]
:fmodules - [0:0]
:fnoexternal - [0:0]
:fnospoof - [0:0]
:fnospoofmodules - [0:0]
:fredirects - [0:0]
:ftoexternalonly - [0:0]
:iaccept - [0:0]
:idrop - [0:0]
:iexternal - [0:0]
:iexternalmodules - [0:0]
:iglobal - [0:0]
:imodules - [0:0]
:inoexternal - [0:0]
:inointernal - [0:0]
:inospoof - [0:0]
:inospoofmodules - [0:0]
:log - [0:0]
:oaccept - [0:0]
:odrop - [0:0]
:oglobal - [0:0]
:ointernal - [0:0]
:omodules - [0:0]
:preforward - [0:0]
:preinput - [0:0]
:preoutput - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j preinput
-A INPUT -m state --state INVALID -j idrop
-A INPUT -m state --state RELATED,ESTABLISHED -j iaccept
-A INPUT -j inospoof
-A INPUT -j iexternalmodules
-A INPUT -j iexternal
-A INPUT -j inoexternal
-A INPUT -j imodules
-A INPUT -j iglobal
-A INPUT -p icmp ! -f -m icmp --icmp-type 8 -m state --state NEW -j iaccept
-A INPUT -p icmp ! -f -m icmp --icmp-type 0 -m state --state NEW -j iaccept
-A INPUT -p icmp ! -f -m icmp --icmp-type 3 -m state --state NEW -j iaccept
-A INPUT -p icmp ! -f -m icmp --icmp-type 4 -m state --state NEW -j iaccept
-A INPUT -p icmp ! -f -m icmp --icmp-type 11 -m state --state NEW -j iaccept
-A INPUT -p icmp ! -f -m icmp --icmp-type 12 -m state --state NEW -j iaccept
-A INPUT -j idrop
-A FORWARD -j preforward
-A FORWARD -m state --state INVALID -j fdrop
-A FORWARD -m state --state RELATED,ESTABLISHED -j faccept
-A FORWARD -j fnospoof
-A FORWARD -j fredirects
-A FORWARD -j fmodules
-A FORWARD -j ffwdrules
-A FORWARD -j fnoexternal
-A FORWARD -j fdns
-A FORWARD -j fglobal
-A FORWARD -p icmp ! -f -m icmp --icmp-type 8 -m state --state NEW -j faccept
-A FORWARD -p icmp ! -f -m icmp --icmp-type 0 -m state --state NEW -j faccept
-A FORWARD -p icmp ! -f -m icmp --icmp-type 3 -m state --state NEW -j faccept
-A FORWARD -p icmp ! -f -m icmp --icmp-type 4 -m state --state NEW -j faccept
-A FORWARD -p icmp ! -f -m icmp --icmp-type 11 -m state --state NEW -j faccept
-A FORWARD -p icmp ! -f -m icmp --icmp-type 12 -m state --state NEW -j faccept
-A FORWARD -j fdrop
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j preoutput
-A OUTPUT -m state --state INVALID -j odrop
-A OUTPUT -m state --state RELATED,ESTABLISHED -j oaccept
-A OUTPUT -j ointernal
-A OUTPUT -j omodules
-A OUTPUT -j oglobal
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 8 -m state --state NEW -j oaccept
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 0 -m state --state NEW -j oaccept
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 3 -m state --state NEW -j oaccept
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 4 -m state --state NEW -j oaccept
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 11 -m state --state NEW -j oaccept
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 12 -m state --state NEW -j oaccept
-A OUTPUT -j odrop
-A drop -j DROP
-A faccept -j ACCEPT
-A fdrop -j drop
-A ffwdrules -i eth1 -j RETURN
-A fglobal -p tcp -m tcp --dport 8443 -j faccept
-A fglobal -j faccept
-A fnoexternal -i eth0 -m state --state NEW -j fdrop
-A fnospoof -j fnospoofmodules
-A fnospoof -s 192.168.50.0/24 ! -i eth1 -j fdrop
-A fredirects -d 192.168.50.230/32 -i eth0 -p tcp -m state --state NEW -m tcp --dport 8080 -j faccept
-A fredirects -d 192.168.50.230/32 -i eth0 -p udp -m state --state NEW -m udp --dport 8080 -j faccept
-A ftoexternalonly -o eth0 -j faccept
-A ftoexternalonly -j fdrop
-A iaccept -j ACCEPT
-A idrop -j drop
-A iexternal -i eth1 -j RETURN
-A iexternal -p tcp -m tcp --dport 8443 -m state --state NEW -j iaccept
-A iexternal -p tcp -m tcp --dport 587 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 110 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 143 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 993 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 995 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 4190 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 25 -m state --state NEW -j iaccept
-A iexternal -p tcp -m tcp --dport 465 -m state --state NEW -j iaccept
-A iexternal -p esp -m state --state NEW -j iaccept
-A iexternal -p udp -m udp --dport 500 -m state --state NEW -j iaccept
-A iexternal -p udp -m udp --dport 4500 -m state --state NEW -j iaccept
-A iexternal -p tcp -m tcp --dport 5222 -m state --state NEW -j drop
-A iexternal -p tcp -m tcp --dport 5223 -m state --state NEW -j drop
-A iexternalmodules -i eth1 -j RETURN
-A iglobal -p tcp -m tcp --dport 8443 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 443 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 587 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 110 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 143 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 993 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 995 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 4190 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 25 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 465 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 5222 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 5223 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 631 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 88 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 88 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 135 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 137 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 138 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 139 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 389 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 389 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 445 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 464 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 464 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 636 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 1024 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 3268 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 3269 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 53 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 53 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 123 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --sport 67:68 --dport 67:68 -m state --state NEW -j iaccept
-A iglobal -p udp -m udp --dport 69 -m state --state NEW -j iaccept
-A iglobal -p tcp -m tcp --dport 22 -m state --state NEW -j iaccept
-A imodules -i eth1 -p tcp -m state --state NEW -m tcp --dport 3128 -j iaccept
-A imodules -p tcp -m state --state NEW -m tcp --dport 3129 -j DROP
-A imodules -p tcp -m state --state NEW -m tcp --dport 3130 -j DROP
-A inoexternal -i eth0 -m state --state NEW -j idrop
-A inospoof -j inospoofmodules
-A inospoof -s 192.168.50.0/24 ! -i eth1 -j idrop
-A log -j RETURN
-A oaccept -j ACCEPT
-A odrop -j drop
-A oglobal -p tcp -m tcp --dport 8443 -m state --state NEW -j oaccept
-A oglobal -m state --state NEW -j oaccept
-A ointernal -o eth0 -p udp -m state --state NEW -m udp --dport 67 -j oaccept
-A ointernal -d 176.34.153.83/32 -p tcp -m state --state NEW -m tcp --dport 443 -j oaccept
-A omodules -p tcp -m tcp --dport 80 -j oaccept
-A omodules -p udp -m udp --dport 53 -j oaccept
-A omodules -p tcp -m tcp --dport 53 -j oaccept
-A omodules -p tcp -m tcp --dport 80 -j oaccept
-A omodules -p tcp -m state --state NEW -m tcp --dport 80 -j oaccept
-A omodules -p tcp -m state --state NEW -m tcp --dport 443 -j oaccept
COMMIT
# Completed on Sat Jan 28 11:49:18 2017
# Generated by iptables-save v1.4.21 on Sat Jan 28 11:49:18 2017
*mangle
:PREROUTING ACCEPT [14558353:10338782147]
:INPUT ACCEPT [775147:128431654]
:FORWARD ACCEPT [13767369:10208229095]
:OUTPUT ACCEPT [481061:71097995]
:POSTROUTING ACCEPT [14238163:10278736534]
:CHECKIP-TEST - [0:0]
:FAILOVER-TEST - [0:0]
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A PREROUTING -i eth0 -m mark --mark 0x0/0xff -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -m mark --mark 0x0/0xff -j MARK --set-xmark 0x1/0xffffffff
-A PREROUTING -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -m mark --mark 0x0/0xff -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j FAILOVER-TEST
-A OUTPUT -j CHECKIP-TEST
COMMIT
# Completed on Sat Jan 28 11:49:18 2017

В браузере набираю 89.215.165.15:9291
Соединения не происходит.

Очень прошу помощи. Заранее благодарен всем, кто откликнется.

[luha]

DVR вещает по портам: 102 для мобильных, 9000 для клиентского ПО, 8080 вэбморда.
...
Original destination port - 9291
...
В браузере набираю 89.215.165.15:9291
Соединения не происходит.

O_o А вы ожидали какую реакцию?!



Я так понял структура следующая: интернет - модем - зенчал - камера
при этом зенчал был виден из-вне, проброс сделали но связи нет.

Сделайте тестовый проброс на другой внутренний хост. Лучше если запустить ftp сервер и попробовать подключиться к нему через интернет - ftp очень старый протокол и очень наглядный. Сервер ftp можно найти для виндоус, линукс и даже мобильника. Начнём с простого, ато у вас каша портов какая-то.