Настройка типовой конфигурации файервол для Sip для локально закрытой машины.

Тред почти не читай, сразу отвечай, зачем фильтровать трафик на tun интерфейсе?

Потому что внешняя сторона tun интерфейса имеет например белый адрес. Достаточный повод?

А что это за логика скрывается за тем, чтобы поставить полиси DROP на OUTPUT? Удали и управляй трафиком через цепочку INPUT. Для SIP тебе нужно открыть udp 5060 и диапазон udp для RTP трафика, там в настройках где-то должен он быть.

А что это за логика скрывается за тем, чтобы поставить полиси DROP на OUTPUT?

Логика простая. Допустим с дуру кем-то в систему ставится ПО с вирусятиной которая пытается инициировать отправку чего-то куда-то без ведома хозяина системы. Я понимаю что защита через iptables -P OUTPUT DROP - фиговый листок, но хоть что-то чем вообще ничего.

тебе нужно открыть udp 5060 и диапазон udp для RTP трафика

Вот с этого места и начинается анекдот. По разным источникам порты которые нужно открыть на in-out для RTP колеблются от 10000:20000 до 1024:65536. Милый диапазончик? Причем есть же еще STUN и еще какая-то зараза управляющая sip трафом. Кроме этого не совсем ясно что именно и как открывать на in и на out.

Логика простая. Допустим с дуру кем-то в систему ставится ПО с вирусятиной которая пытается инициировать отправку чего-то куда-то без ведома хозяина системы.

Если «кто-то, что-то» «внезапно» ставит в систему, то вопрос уже не про OUTPUT. Проблема куда как «глубже». Вы говорите что «Кто угодно, что угодно, может у вас установить?» Если так, то о какой в попу безопастности речь?

Вирусня будет подключаться к своему командному центру как раз таки через стандартные порты: 80, 443 которые как-правило открыты, так что это иллюзия защиты. Диапазон rtp можно настроить, хоть до одного порта, но не везде, на астериске можно.

Вы говорите что «Кто угодно, что угодно, может у вас установить?» Если так, то о какой в попу безопастности речь?

Ну где блин я сказал что это будет у меня на машине? Или думаете тут все спрашивают вопросы только для того чтобы себе системку подточить? У меня лично нет проблемы с пробросом портов для sip. Я лично не использую sip. Использовал-бы, вообще бы этого вопроса не задал. Сам бы знал что открыть, а что закрыть и как именно. И на практике бы проверил. Видимо так и придется сделать. А то все совету на уровне первых 3-х строк в гугле по запросу sip+порты.

Вирусня будет подключаться к своему командному центру как раз таки через стандартные порты: 80, 443 которые как-правило открыты, так что это иллюзия защиты.

Да знаю. Потому и написал:

Я понимаю что защита через iptables -P OUTPUT DROP - фиговый листок, но хоть что-то чем вообще ничего.

Считайте что это такая глупая перестраховка от тупых недовирусов. :)

Диапазон rtp можно настроить, хоть до одного порта, но не везде, на астериске можно.

Да, на астериске можно. Но у меня нет астериска в этой задаче. В этой задаче есть ekiga на десктопном компе. И конектиться она будет неизвестно к какому sip серверу. Отсюда и вопрос какой МИНИМУМ портов надо открыть и куда именно чтобы ekiga могла нормально работать хотя-бы с большинством публичных серверов? Чтобы юзверю не надо было лезть в iptables при настройке подключения к sip серверу. Чтобы он лазил только по настройкам ekiga.

У меня уже открыты эфемеры

iptables -A OUTPUT -o tun0 -p TCP --sport 32768:61000 -j ACCEPT
iptables -A OUTPUT -o tun0 -p UDP --sport 32768:61000 -j ACCEPT

Я правильно понял, вам кроме sip больше никуда в инет соединяться не нужно?

Ну почему-же. Нужно. Просто остальной софт умеет на выход пользоваться эфемерами, а вот ekiga не умеет. :(

Если такая паранойя, тогда варианты:
1. Запускать от отдельного пользователя
2. netns
3. chroot
4. контейнер

Да, и что такое эфемерами? А то вдруг я о другом подумал.

Не совсем понял что именно запускать от отдельного пользователя и главное зачем это делать?

Да, и что такое эфемерами?

Группа так называемых эфемерных портов. Обычно от 32768 и выше. У меня они открыты на выход. Браузер посылает запрос к серву через эти порты то есть у пакета идущего к серву сурспорт например 33333, а дестинэйшн порт 80. А когда серв отвечает браузеру то пакет имеет уже свойство ESTABLISHED,RELATED и проходит к браузеру через правило iptables -A INPUT -i tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Не совсем понял что именно запускать от отдельного пользователя

ekiga

и главное зачем это делать?

В iptables по owner задать правило

Браво! Я про другое подумал. Ну и чем, чем вас топик спасет от зловредов?

В iptables по owner задать правило

Ну я уже после того как спросил так и подумал. Думаю что с owners я еще покумекаю. Может вообще в iptables закрою для root любой интернет. Надо подумать в эту сторону.

Ну и чем, чем вас топик спасет от зловредов?

Не знаю. Я ищу в первую очередь идеи куда думать.

Не знаю.

Вот это самое главное «Не знаю.» Понимаете, есть разница между:
Почитал/подумал потом сделал и что-то не получилось.
И
Сделал/скопипастил потом начал-на-форуме-задавать-вопросы-а-что-же-я-сделал?

Понимаете, есть разница между:

Понимаю. Разница есть. И мой вариант чаще всего первый. Вот только топик совсем не о зловредах. Он о sip в котором я не достаточно силен. А разбираться с самого нуля в вопросах по sip только ради того чтобы написать пару строк в iptables ну как-бы не очень рационально.

Я вообще ожидал ответов в духе:

Этот, этот, этот порт на вход-выход обязательно! Эти порты только на вход, а эти только на выход. Всё это покроет все вопросы по sip для ekiga.

Ну да ладно, проехали. Я уже понял что придется всё перелопачивать самому.

Понимаю.

Нет, похоже не понимаете. Закрывать OUTPUT без острой необходимости смысла ровно ноль.
Какая нафиг разница кто и какой откроет порт? Браузер, бот, или ваш ekiga ?
Вы вроде и правильно выше написали, как догадывающийся о state/ctstate в iptables, а с другой стороны тупите....

Нет, похоже не понимаете. Закрывать OUTPUT без острой необходимости смысла ровно ноль.

Какая нафиг разница кто и какой откроет порт? Браузер, бот, или ваш ekiga ? В этом смысле действительно втупил. Согласен с ходом ваших мыслей. Но всё равно надо же что-то и извне открывать для sip. В любом раскладе ни кто ничего дельного пока не подсказал.

В любом раскладе ни кто ничего дельного пока не подсказал.В любом раскладе ни кто ничего дельного пока не подсказал.

В смысле по теме топика.

Так вы сами ответили на свой вопрос в самом топике :)
iptables -A OUTPUT -o tun0 -j ACCEPT
Но если вам так уж интересно, запустите tcpdump и ловите. :)

Не знаток sip но из старого 1720/tcp 5060/udp 10000:40000/upd

1720/tcp

Да, тоже что-то такое помню. Помню что вроде как про sip. Вот только не помню для чего именно нужен. В любом случае спасибо. Есть что загуглить.

10000:40000/upd

А вот куда это открывать, и надо ли вообще, несколько непонятно.

Так вы сами ответили на свой вопрос в самом топике

Но я же и написал что мне не нравится такое решение. Если бы нравилось - вообще бы топик не открыл.

Мне кажется вы противоречите сами себе.

В этом смысле действительно втупил. Согласен с ходом ваших мыслей.

Но я же и написал что мне не нравится такое решение.

Простите, но я вас действительно не понимаю...

Поясняю. Согласен с ходом ваших мыслей, но мне не нравится такое решение. И я действительно не вижу аргументов против вашего утверждения, но это не значит что мне оно должно нравиться.

Вам кажется что что я противоречу себе потому что Вы рассматриваете мой вопрос с точки зрения: «Решил проблему и забыл». А я рассматриваю вопрос с точки зрения сбора максимума информации для получения оптимального и красивого решения. То есть тот факт что у меня появилось хоть какое-то решение для меня дедлайном в вопросе не является. Просто разные цели.