jak umravnit firewall pro VOIP?

[Zdeněk Prchal]

> Predpokladam, ze kdyz vam ten sip phone funguje, tak do nej chodi nejake
> pakety, ne?
> To jsou presne ty, podle kterych conntrack nastavi ESTABLISHED.
> 
Ne - v době, kdy na firewallu není zavedeno MASQ pravidlo, tam žádné pakeky nechodí, ani nemůžou, na adresu z lokální sítě to jaksi nejde ;-)
Přesto jsou i ty odchozí pakety bez odezvy nikoliv ve stavu NEW, ale ESTABLISHED, soudě podle toho, že i po spuštění firewallu ty pakety vesele odcházejí dál se zdrojovou adresou z LAN rozsahu :-(
Hm, error, uvažuju zcestně, vždyť je to jiná tabulka hrome! nat table vypadá takhle:

Chain POSTROUTING (policy ACCEPT 28230 packets, 2240K bytes)
 pkts bytes target     prot opt in     out     source               destination
56534 5642K ppp0_masq  all  --  any    ppp0    anywhere             anywhere

Chain ppp0_masq (1 references)
 pkts bytes target     prot opt in     out     source               destination
35587 4231K MASQUERADE  all  --  any    any     192.168.200.0/24     anywhere            policy match dir out pol none

Tak teď jsem z toho vážně jelen, jak je to možné? Pokud tu VOIP krabičku na chvíli vypnu nebo to "spojení" ze stavové conntrack tabulky vymažu, tak se to chytne a maškaráda začne fungovat. Kde je teda zakopaný pes?

Zdeněk Prchal