jak umravnit firewall pro VOIP?
Zdeněk Prchal
prchal na vtdata.cz
Pátek Únor 26 08:10:55 CET 2010
> Predpokladam, ze kdyz vam ten sip phone funguje, tak do nej chodi nejake
> pakety, ne?
> To jsou presne ty, podle kterych conntrack nastavi ESTABLISHED.
>
Ne - v době, kdy na firewallu není zavedeno MASQ pravidlo, tam žádné pakeky nechodí, ani nemůžou, na adresu z lokální sítě to jaksi nejde ;-)
Přesto jsou i ty odchozí pakety bez odezvy nikoliv ve stavu NEW, ale ESTABLISHED, soudě podle toho, že i po spuštění firewallu ty pakety vesele odcházejí dál se zdrojovou adresou z LAN rozsahu :-(
Hm, error, uvažuju zcestně, vždyť je to jiná tabulka hrome! nat table vypadá takhle:
Chain POSTROUTING (policy ACCEPT 28230 packets, 2240K bytes)
pkts bytes target prot opt in out source destination
56534 5642K ppp0_masq all -- any ppp0 anywhere anywhere
Chain ppp0_masq (1 references)
pkts bytes target prot opt in out source destination
35587 4231K MASQUERADE all -- any any 192.168.200.0/24 anywhere policy match dir out pol none
Tak teď jsem z toho vážně jelen, jak je to možné? Pokud tu VOIP krabičku na chvíli vypnu nebo to "spojení" ze stavové conntrack tabulky vymažu, tak se to chytne a maškaráda začne fungovat. Kde je teda zakopaný pes?
Zdeněk Prchal
Další informace o konferenci Linux