Новые ответы

Как настроить авторизацию извне на камеры?,

fvt, 04-Июн-15, 18:55 [смотреть все]

Добрый день.
Стандартно: интернет - шлюз (Debian) - контора (сеть, компы, камеры).
Суть : камеры (Beward) могут rtsp, mjpeg. Соответственно настроены на них свои порты, на каждой: (к примеру камера 192.168.0.105 rtsp: 4005, mjpg:5005. )
На файерволе (для каждой):
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 3005 -j DNAT --to-destination 192.168.0.105:80
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 4005 -j DNAT --to-destination 192.168.0.105
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 5005 -j DNAT --to-destination 192.168.0.105
Соответственно, если "извне" лезем на <IP-шлюза>:3005 , то попадаем на веб-морду камеры, специфичную, которая по rtsp over http отдает картинку на Explorere и то не всегда. Очень кривой софт.
Программы видеопотоков не съедают rtsp://<IP-шлюза>:4005 и http://<IP-шлюза>:4005
Получилось с помощью VLC по <IP-шлюза>:5005 получить mjpeg. (это удобно, ибо хотят видеть с помощью мобильников и т.п.)
НО: возник вопрос - у меня если на веб-морду (<IP-шлюза>:3005) то там норм авторизация и т.п. А как сделать какую-то "авторизацию средствами iptables" для потоков "мимо" веб морды - для портов 4005, 5005? А то у меня камеры получаются доступны всем :(
Заранее благодарен за ответы и мысли.

Ответить | Сообщить модератору

Как настроить авторизацию извне на камеры?, asavah, 19:59 , 04-Июн-15 (1)
> А как сделать какую-то "авторизацию средствами iptables"
[facepalm.jpg]
> Очень кривой софт.
Возможно софт, возможно руки
Если камера сама не умеет делать тривиальный http-auth через настройку пользователей в камере (длинки и аксисы умеют) то:
google://nginx mjpeg proxy
один из ключей к успеху:
proxy_buffering off;
авторизацию делаем средствами nginx
Ответить | Сообщить модератору

Как настроить авторизацию извне на камеры?, fvt, 21:14 , 04-Июн-15 (2)
> [facepalm.jpg]
Да я понимаю что глупость пишу про "авторизацию фаерволом".
я имел ввиду чтобы он вначале заворачивал соединение на авторизацию, а при успешной это соединение уже "помечал" как нибудь и пропускал напрямую.
>> Очень кривой софт.
> Возможно софт, возможно руки
> Если камера сама не умеет делать тривиальный http-auth через настройку пользователей в
> камере (длинки и аксисы умеют)
Я и написал - что "...то попадаем на веб-морду камеры, специфичную, которая по rtsp over http отдает картинку на Explorere и то не всегда..." - там есть и авторизация и пользователи, только все реализовано,.. через ActiveX.
> google://nginx mjpeg proxy
> один из ключей к успеху:
> proxy_buffering off;
> авторизацию делаем средствами nginx
За это спасибо. Пошёл курить просторы гугла.
Ответить | Сообщить модератору

Как настроить авторизацию извне на камеры?, asavah, 22:13 , 04-Июн-15 (3)
> Да я понимаю что глупость пишу про "авторизацию фаерволом".
> я имел ввиду чтобы он вначале заворачивал соединение на авторизацию, а при
> успешной это соединение уже "помечал" как нибудь и пропускал напрямую.
ну если с nginx-ом не взлетит как надо (от камеры может зависеть) тут только велосипед с квадратными колёсами наваять можно,
сделать мордочку с авторизацией на php (итп) которая при успешной авторизации добавляет ипшку юзверя в ipset разрешающий forward на нужный ip/port на определённое время (ipset имеет встроенный timeout)
>." - там есть и авторизация и пользователи, только все реализовано,.. через ActiveX.
угу, редкая гадость, знаем плавали :)
ЗЫ или заюзать готовые решения в виде motion/zoneminder
Ответить | Сообщить модератору