The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Iptables и Виртуальная АТС"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"Iptables и Виртуальная АТС"  +/
Сообщение от mutagen_spree (ok) on 14-Дек-16, 07:57 
Доброго времени суток. В нашей конторе решили подключить Виртуальную АТС, от МТС. Имеется шлюз на Debian. При настройке файрвола возникли сложности. Порт 5060 вроде не понадобилось открывать, клиент регистрируется на сервере. А вот с RTP трафиком возникли проблемы. В интернете все пишут что надо открыть порты с 10000:20000   iptables -A INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT. Но это не помогает. Перепробовал разные способы, не пойму куда девается трафик.
От их техподдержки помощи никакой добиться не удалось
З.Ы. Если политику по умолчанию для FORWARD сделать ACCEPT, то работает нормально.

Подскажите как быть. Заранее благодарен

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Iptables и Виртуальная АТС"  +/
Сообщение от shadow_alone (ok) on 14-Дек-16, 08:10 
Так тебе не INPUT, а FORWARD для этих портов нужно - это раз.

уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно, и сделай разрешение на них.

ну, или, если не asterisk, а конечные устройства у тебя, смотри у них в настройках диапазон RTP, и действуй в соответствии с этим.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Iptables и Виртуальная АТС"  +/
Сообщение от mutagen_spree (ok) on 14-Дек-16, 08:15 
> Так тебе не INPUT, а FORWARD для этих портов нужно - это
> раз.
> уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно,
> и сделай разрешение на них.

Дело в том что своего asteriska у меня нет, и я не пойму куда мне пробрасывать эти порты.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Iptables и Виртуальная АТС"  +/
Сообщение от shadow_alone (ok) on 14-Дек-16, 08:18 
> Дело в том что своего asteriska у меня нет, и я не
> пойму куда мне пробрасывать эти порты.

пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP - вот и всё

Только вначале выясните какие RTP порты на конечных устройствах настроены.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Iptables и Виртуальная АТС"  +/
Сообщение от mutagen_spree (ok) on 14-Дек-16, 09:27 
>> Дело в том что своего asteriska у меня нет, и я не
>> пойму куда мне пробрасывать эти порты.
> пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP -
> вот и всё
> Только вначале выясните какие RTP порты на конечных устройствах настроены.

Добавил -A FORWARD -p udp --dport 5060 -j ACCEPT и
-A FORWARD -p udp -m multiport --dports 10000:20000 -j ACCEPT.
В настройках sip-клиента указал Range of ports used for RTP 10000:20000

не заработало. iptables -L -n-v показывает:
Chain FORWARD (policy DROP 504 packets, 74867 bytes)
pkts bytes target     prot opt in     out     source               destination
14529   12M bad_tcp_pkts  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
15561   13M ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ULOG copy_range 0 nlgroup 1 queue_threshold 1
14856   13M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 lan_inet   all  --  eth1   ppp0    0.0.0.0/0            0.0.0.0/0
  690 88893 lan_inet   all  --  eth1   eth2    0.0.0.0/0            0.0.0.0/0
    2  1174 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 10000:20000
    0     0 allowed    tcp  --  ppp0   *       0.0.0.0/0            192.168.23.9         tcp dpt:443

получается через 5060 идут пакеты нормально, а по 10000:20000 не идут

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Iptables и Виртуальная АТС"  +/
Сообщение от серг on 14-Дек-16, 09:42 
tcpdump  очень поможет
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Iptables и Виртуальная АТС"  +/
Сообщение от shadow_alone (ok) on 14-Дек-16, 09:45 
это на IN FORWARD,
а на OUT?

вы ж не знаете RTP порты назначения...

-A FORWARD -p udp -m multiport -d IP.AD.DRE.SS --dports 10000:20000 -j ACCEPT.
-A FORWARD -p udp -m multiport -s IP.AD.DRE.SS --sports 10000:20000 -j ACCEPT.

IP.AD.DRE.SS - адрес клиента

и опять же, нахрена вам такой диапазон то в 10к?

если уж вы установили порты RTP на клиенте, нахрена такие то?
ну сделайте 10000-10020 - для одного клиента то.... нахрена 10к портов?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Iptables и Виртуальная АТС"  +/
Сообщение от mutagen_spree (ok) on 14-Дек-16, 10:01 
> это на IN FORWARD,
> а на OUT?
> вы ж не знаете RTP порты назначения...
> -A FORWARD -p udp -m multiport -d IP.AD.DRE.SS --dports 10000:20000 -j ACCEPT.
> -A FORWARD -p udp -m multiport -s IP.AD.DRE.SS --sports 10000:20000 -j ACCEPT.
>  IP.AD.DRE.SS - адрес клиента
> и опять же, нахрена вам такой диапазон то в 10к?
> если уж вы установили порты RTP на клиенте, нахрена такие то?
> ну сделайте 10000-10020 - для одного клиента то.... нахрена 10к портов?

Ну клиент то не один будет. А диапазон ставлю как на большинстве источников советуют. Провайдер не предоставил такой информации

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Iptables и Виртуальная АТС"  +/
Сообщение от shadow_alone (ok) on 14-Дек-16, 10:03 
> Ну клиент то не один будет. А диапазон ставлю как на большинстве
> источников советуют. Провайдер не предоставил такой информации

Если вам посоветуют с балкона прыгнуть? Самому понять что столько портов для одного клиента нах не нужно, что не позволяет?

делайте правила без адреса тогда...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Iptables и Виртуальная АТС"  +/
Сообщение от mutagen_spree (ok) on 14-Дек-16, 10:12 
>> Ну клиент то не один будет. А диапазон ставлю как на большинстве
>> источников советуют. Провайдер не предоставил такой информации
> Если вам посоветуют с балкона прыгнуть? Самому понять что столько портов для
> одного клиента нах не нужно, что не позволяет?
> делайте правила без адреса тогда...

Все заработало, спасибо огромное!!! Уменьшил диапазон и добавил -A FORWARD -p udp -m multiport --sport 10000:10020 -j ACCEPT как вы сказали и вуаля.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Iptables и Виртуальная АТС"  +/
Сообщение от shadow_alone (ok) on 14-Дек-16, 10:17 
Сделай на разных клиентах разные диапазоны, например

1. 10000-10020
2. 10021-10040
3. 10041-10060
и так далее,
а потом открой FORWARD на весь диапазон
например, на 5 клиентов - 10000-10100

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor