LINUX.ORG.RU

Настройка iptables для telphin

 ,


0

1

Доброго времени суток. Заранее извиняюсь за глупые вопросы, но ответа на свой вопрос найти не удалось, а времени не так много. Суть - необходимо настроить прохождение трафика от voip телефонии через фаервол. Имеется такая запись: $ip -A FORWARD -p udp -s 192.168.0.100 ! -d $LAN_RANGE -m multiport --dports 5060,10000:20000 -j ACCEPT $ip -A FORWARD -p udp -d 192.168.0.100 ! -s $LAN_RANGE -m multiport --sports 5060,10000:20000 -j ACCEPT Аппараты регистрируются у провайдера, но при входящем звонке нет звука. Ответ техподдержки - Разрешите обмен всем трафиком с сетью 213.170.84.96/27. 192.168.0.100 - адрес телефонного аппарата. Подскажите, пожалуйста, что и где нужно скорректировать. С iptables столкнулся совсем недавно, не было времени вникнуть.

Ответ на: комментарий от Napst3r

Скорее угрозу для ip-телефона, чем для сети, а может телефон станет угрозой, ведь ему до этого почему-то только udp разрешали.

И может мои правила не помогут, если где-то до них будет DROP нужных пакетов или дело вобще не в iptables.

mky ★★★★★ ()
Ответ на: комментарий от mky

Вообщем немного разобрался с проблемой. Суть была не в прямом прописывании адреса провайдера, а в правилах iptables, поэтому опять прошу помощи. Что касается FORWARD, сначала идет правило 1) $ip -P FORWARD DROP далее правило 2) $ip -A INPUT -p all -i $LAN_IFACE -s $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT 3) $ip -A OUTPUT -p all -o $LAN_IFACE -d $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT и далее разрешающее правило на передачу голоса 4) $ip -A FORWARD -p udp -s 192.168.0.100 ! -d $LAN_RANGE -m multiport --dports 10000:20000 -j ACCEPT 5) $ip -A FORWARD -p udp -d 192.168.0.100 ! -s $LAN_RANGE -m multiport --sports 10000:20000 -j ACCEPT И вся эта красота не работает. Но если я переношу правило 4 и 5 выше правил 2 и 3 или же в 1 правиле меняю DROP на ACCEPT все начинает работать как надо. Возникает вопрос - дело в состоянии пакетов NEW,ESTABLISHED? Как нужно скорректировать правило 4 и 5, чтобы они работали корректно ниже правил 2 и 3 и с состоянием 1 правила DROP?

Napst3r ()
Ответ на: комментарий от rumgot

Пардоньте.

Вообщем немного разобрался с проблемой. Суть была не в прямом прописывании адреса провайдера, а в правилах iptables, поэтому опять прошу помощи. Что касается FORWARD, сначала идет правило

$ip -P INPUT DROP
$ip -P OUTPUT DROP
$ip -P FORWARD DROP

$ip -A INPUT -p all -i $LAN_IFACE -s $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT
$ip -A OUTPUT -p all -o $LAN_IFACE -d $LAN_RANGE --match state --state NEW,ESTABLISHED -j ACCEPT

и ниже разрешающее правило на передачу голоса

$ip -A FORWARD -p udp -s 192.168.0.100 ! -d $LAN_RANGE -m multiport --dports 10000:20000 -j ACCEPT
$ip -A FORWARD -p udp -d 192.168.0.100 ! -s $LAN_RANGE -m multiport --sports 10000:20000 -j ACCEPT

И вся эта красота не работает. Но если я переношу последние 2 правила вверх или же в правиле $ip -P FORWARD DROP меняю DROP на ACCEPT все начинает работать как надо. Возникает вопрос - дело в состоянии пакетов NEW,ESTABLISHED? Как нужно скорректировать правила передачи голоса, чтобы они работали корректно?

Еще раз прошу меня извинить, - iptables-save сделать не могу, так как работаю удаленно, а в офисе, где находится фаервол, инет лежит 2 день.

Napst3r ()
Ответ на: комментарий от Napst3r

Так а может твои разрешающие правила неверные? Давай вместо последних двух разрешающих правил попробуй (кстати почитай про lorcode (www.linux.org.ru/help/lorcode.md) в особенности про тег [сode]):

$ip -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$ip -A FORWARD -p udp -s 192.168.0.100 -j ACCEPT

rumgot ★★★ ()