PFSense + iCamSource



  • Buenas,

    Para los que no sepan que es iCamSource, es un servicio que se monta para utilizar una WebCam normal como sistema de vigilancia, con un cliente para iPhone llamado iCam, se puede ver desde cualquier punto.  El funcionamiento de este sistema creo que es, que el iCamSource te genera una cuenta con un usuario y un pass en unos servidores, y el iCam conecta a ese servidor, para darle la información de donde tiene que conectar el iCam, es decir que utiliza sus servidores para hacer un enlace desde el 3G al servicio iCamSource.

    El tema es que tengo asignados los puertos de 1200 a 12100 (UDP), que son los que se asignan por defecto. Están Nateados y abiertos en las reglas. Pero el puerto utilizado por iCamSource, aparece como bloqueado.

    He estado mirando en el system log del Firewall y me aparece esto cuando intento conectar mediante 3G (desde el wifi interno de casa funciona perfectamente porque está en local)  al iCamSource:

    Jun 22 12:57:23 pf: 159927 rule 73/0(match): block in on vr0: (tos 0x0, ttl 47, id 41095, offset 0, flags [none], proto UDP (17), length 86) 66.116.97.150.12613 > 10.0.0.102.12037: UDP, length 58
    Jun 22 12:57:23 pf: 4. 870069 rule 73/0(match): block in on vr0: (tos 0x0, ttl 51, id 31713, offset 0, flags [none], proto UDP (17), length 77) 80.27.101.166.37494 > 10.0.0.102.12037: UDP, length 49

    Entiendo que tendría que dejar pasar estas dos conexiones. ¿Alguna ayuda?

    Un saludo.

    Edito:

    He logrado que no me bloquee esas peticiones, pero sigue sin funcionar, no sé si estoy haciendo algo mal en lo referente al NAT y las reglas de Firewall en protocolo UDP.



  • :) hola…

    yo te recomendaria en primer lugar habilitar una regla en la lan que permita todo, y luego una en la wan que tambien permita todo.

    te consulto:
    .. has conectado directo sin el pfsense y funciona?
    .. tu configuracion de la camara no debe cambiar cuando colocas un firewall? te lo dice el fabricante?



  • @sanchezluys:

    :) hola…

    yo te recomendaria en primer lugar habilitar una regla en la lan que permita todo, y luego una en la wan que tambien permita todo.

    te consulto:
    .. has conectado directo sin el pfsense y funciona?
    .. tu configuracion de la camara no debe cambiar cuando colocas un firewall? te lo dice el fabricante?

    Buenas,

    El software en si, se le tiene que configurar una opción para que acepte forwarding y luego asignarle el rango de puertos donde operará. Pero esto ya está hecho.

    El soft funciona porque lo he probado desde la red local por Wifi, y todo funciona. El problema es que aunque yo haga un NAT a la IP donde está el Soft, y le habrá los puertos mediante unas reglas en la WAN, el puerto que utiliza en ese momento, aparece como bloqueado.

    He creado una regla que acepta todo en la red LAN y otra en la WAN, he metido el NAT a esos puertos, pero sigue igual, no hay forma, así que ya no tengo claro que sea cosa tanto del Firewall y no sea cosa del Mac OS X donde está montado el Soft o cosa del telefono. Pero lo que me parece raro es que a un amigo no le dio problemas e hizo el nateo con un router cutre de estos que dan las compañias.



  • Postea las reglas que has creado para checar.
    ademas solo como sonsulta para descartar problemas con la mac has probado hacer nat hacia este equipo sin utilizar pfsense??



  • @leoalfa09:

    Postea las reglas que has creado para checar.
    ademas solo como sonsulta para descartar problemas con la mac has probado hacer nat hacia este equipo sin utilizar pfsense??

    NAT:

    rdr on vr0 proto udp from any to X.X.X.X port 12000:13000 -> 10.0.0.102 port 12000:*

    Regla FW:

    pass in log quick on $wan reply-to (vr0 Y.Y.Y.Y ) proto udp from any to any port 11999 >< 13001 keep state  label "USER_RULE: NAT iCamSource"

    Así es como se muestran en el /tmp/rules.debug

    Cuando preguntas si he probado a natear sin PFSense, no lo he hecho porque mi router/firewall es unicamente el PFSense, no tengo otro, aunque supongo que poría buscar un router zyxel o algo y probar.

    X.X.X.X = Mi ip externa
    Y.Y.Y.Y = El Gateway de la IP Externa

    Un saludo.



  • REGLA NAT

    If                    Proto                Ext. port range                    NAT IP                Int. port range                    Description

    WAN              TCP/UDP                  12000-13000                  10.0.0.2                  12000-13000
                                                                            (ext.:x.x.x.x)

    FIREWALL RULE WAN

    Proto            Source      Port          Destination          Port                Gateway                    Schedule                Description
    TCP/UDP            *            *          10.0.0.2          12000-13000              *

    Prueba estas rules. Suerte!!!!!!!!!!!!!!



  • @leoalfa09:

    REGLA NAT

    If                     Proto                Ext. port range                    NAT IP                Int. port range                    Description

    WAN               TCP/UDP                   12000-13000                   10.0.0.2                  12000-13000
                                                                            (ext.:x.x.x.x)

    FIREWALL RULE WAN

    Proto             Source       Port          Destination           Port                 Gateway                     Schedule                 Description
    TCP/UDP             *             *           10.0.0.2          12000-13000              *

    Prueba estas rules. Suerte!!!!!!!!!!!!!!

    Esas reglas ya las he probado, es más son las primeras que hice, las he probado de mil formas, pero nada. De todos modos, gracias :)


Locked