Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Iptables и Виртуальная АТС, mutagen_spree (ok), 14-Дек-16, (0) [смотреть все] Так тебе не INPUT, а FORWARD для этих портов нужно - это раз уменьши диапазон RT, shadow_alone (ok), 08:10 , 14-Дек-16, (1)   // Дело в том что своего asteriska у меня нет, и я не пойму куда мне пробрасывать э, mutagen_spree (ok), 08:15 , 14-Дек-16, (2)   // пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP - вот и всёТ, shadow_alone (ok), 08:18 , 14-Дек-16, (3)   // Добавил -A FORWARD -p udp --dport 5060 -j ACCEPT и -A FORWARD -p udp -m multipor, mutagen_spree (ok), 09:27 , 14-Дек-16, (4)   tcpdump очень поможет , серг (?), 09:42 , 14-Дек-16, (5)   это на IN FORWARD,а на OUT вы ж не знаете RTP порты назначения -A FORWARD -p u, shadow_alone (ok), 09:45 , 14-Дек-16, (6)   Ну клиент то не один будет А диапазон ставлю как на большинстве источников сове, mutagen_spree (ok), 10:01 , 14-Дек-16, (7)   Если вам посоветуют с балкона прыгнуть Самому понять что столько портов для одн, shadow_alone (ok), 10:03 , 14-Дек-16, (8)   Все заработало, спасибо огромное Уменьшил диапазон и добавил -A FORWARD -p ud, mutagen_spree (ok), 10:12 , 14-Дек-16, (9)   Сделай на разных клиентах разные диапазоны, например1 10000-100202 10021-10040, shadow_alone (ok), 10:17 , 14-Дек-16, (10)   1

Сообщения

[Сортировка по времени | RSS]

1. "Iptables и Виртуальная АТС"	+/–
Сообщение от shadow_alone (ok), 14-Дек-16, 08:10
Так тебе не INPUT, а FORWARD для этих портов нужно - это раз. уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно, и сделай разрешение на них. ну, или, если не asterisk, а конечные устройства у тебя, смотри у них в настройках диапазон RTP, и действуй в соответствии с этим.
Ответить | Правка | Наверх | Cообщить модератору

	2. "Iptables и Виртуальная АТС"	+/–
	Сообщение от mutagen_spree (ok), 14-Дек-16, 08:15
	> Так тебе не INPUT, а FORWARD для этих портов нужно - это > раз. > уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно, > и сделай разрешение на них. Дело в том что своего asteriska у меня нет, и я не пойму куда мне пробрасывать эти порты.
	Ответить | Правка | Наверх | Cообщить модератору

	3. "Iptables и Виртуальная АТС"	+/–
	Сообщение от shadow_alone (ok), 14-Дек-16, 08:18
	> Дело в том что своего asteriska у меня нет, и я не > пойму куда мне пробрасывать эти порты. пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP - вот и всё Только вначале выясните какие RTP порты на конечных устройствах настроены.
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Iptables и Виртуальная АТС"	+/–
	Сообщение от mutagen_spree (ok), 14-Дек-16, 09:27
	>> Дело в том что своего asteriska у меня нет, и я не >> пойму куда мне пробрасывать эти порты. > пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP - > вот и всё > Только вначале выясните какие RTP порты на конечных устройствах настроены. Добавил -A FORWARD -p udp --dport 5060 -j ACCEPT и -A FORWARD -p udp -m multiport --dports 10000:20000 -j ACCEPT. В настройках sip-клиента указал Range of ports used for RTP 10000:20000 не заработало. iptables -L -n-v показывает: Chain FORWARD (policy DROP 504 packets, 74867 bytes) pkts bytes target     prot opt in     out     source               destination 14529   12M bad_tcp_pkts  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0 15561   13M ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ULOG copy_range 0 nlgroup 1 queue_threshold 1 14856   13M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED     0     0 lan_inet   all  --  eth1   ppp0    0.0.0.0/0            0.0.0.0/0   690 88893 lan_inet   all  --  eth1   eth2    0.0.0.0/0            0.0.0.0/0     2  1174 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060     0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 10000:20000     0     0 allowed    tcp  --  ppp0   *       0.0.0.0/0            192.168.23.9         tcp dpt:443 получается через 5060 идут пакеты нормально, а по 10000:20000 не идут
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Iptables и Виртуальная АТС"	+/–
	Сообщение от серг (?), 14-Дек-16, 09:42
	tcpdump  очень поможет
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Iptables и Виртуальная АТС"	+/–
	Сообщение от shadow_alone (ok), 14-Дек-16, 09:45
	это на IN FORWARD, а на OUT? вы ж не знаете RTP порты назначения... -A FORWARD -p udp -m multiport -d IP.AD.DRE.SS --dports 10000:20000 -j ACCEPT. -A FORWARD -p udp -m multiport -s IP.AD.DRE.SS --sports 10000:20000 -j ACCEPT. IP.AD.DRE.SS - адрес клиента и опять же, нахрена вам такой диапазон то в 10к? если уж вы установили порты RTP на клиенте, нахрена такие то? ну сделайте 10000-10020 - для одного клиента то.... нахрена 10к портов?
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	7. "Iptables и Виртуальная АТС"	+/–
	Сообщение от mutagen_spree (ok), 14-Дек-16, 10:01
	> это на IN FORWARD, > а на OUT? > вы ж не знаете RTP порты назначения... > -A FORWARD -p udp -m multiport -d IP.AD.DRE.SS --dports 10000:20000 -j ACCEPT. > -A FORWARD -p udp -m multiport -s IP.AD.DRE.SS --sports 10000:20000 -j ACCEPT. >  IP.AD.DRE.SS - адрес клиента > и опять же, нахрена вам такой диапазон то в 10к? > если уж вы установили порты RTP на клиенте, нахрена такие то? > ну сделайте 10000-10020 - для одного клиента то.... нахрена 10к портов? Ну клиент то не один будет. А диапазон ставлю как на большинстве источников советуют. Провайдер не предоставил такой информации
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Iptables и Виртуальная АТС"	+/–
	Сообщение от shadow_alone (ok), 14-Дек-16, 10:03
	> Ну клиент то не один будет. А диапазон ставлю как на большинстве > источников советуют. Провайдер не предоставил такой информации Если вам посоветуют с балкона прыгнуть? Самому понять что столько портов для одного клиента нах не нужно, что не позволяет? делайте правила без адреса тогда...
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Iptables и Виртуальная АТС"	+/–
	Сообщение от mutagen_spree (ok), 14-Дек-16, 10:12
	>> Ну клиент то не один будет. А диапазон ставлю как на большинстве >> источников советуют. Провайдер не предоставил такой информации > Если вам посоветуют с балкона прыгнуть? Самому понять что столько портов для > одного клиента нах не нужно, что не позволяет? > делайте правила без адреса тогда... Все заработало, спасибо огромное!!! Уменьшил диапазон и добавил -A FORWARD -p udp -m multiport --sport 10000:10020 -j ACCEPT как вы сказали и вуаля.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Iptables и Виртуальная АТС"	+/–
	Сообщение от shadow_alone (ok), 14-Дек-16, 10:17
	Сделай на разных клиентах разные диапазоны, например 1. 10000-10020 2. 10021-10040 3. 10041-10060 и так далее, а потом открой FORWARD на весь диапазон например, на 5 клиентов - 10000-10100
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема