kazabe wrote:
El siguiente es mi script de firewall. Como podran notar, uso ACCEPT
como politica por defecto, y tengo habilitado nat para toda la red.
No veo en ningún momento dónde establecés las políticas del firewall.
Si no tengo ningun puerto cerrado para salir, debo abrir
explicitamente los puertos para vozip?
No.
#Aceptamos los paquetes de la conexion ya establecida
$IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT
#Rechazamos los de conexiones nuevas
$IPTABLES -A INPUT -i $EXT -m state --state NEW,INVALID -j DROP
#Rechazamos las conexiones de forwarding no establecidas
$IPTABLES -A FORWARD -i $EXT -m state --state NEW,INVALID -j
DROP
echo "Listo"
Acá está el problema. Como ya te mencioné antes, en la mayoría de los
protocolos de VoIP, la voz (media) es aparte de la señalización y se
negocia mediante la misma.
Supongamos que sea SIP, en los paquetes de comienzo de la llamada
(INVITE) indicas qué puertos usarás para media y en el paquete de
conexión (200 OK) te dirá a dónde tienes que enviar la media. Pero es
una nueva conexión por dos puertos distintos y la voz entrante es,
casualmente, una nueva conexión entrante.
Como también mencioné antes, para SIP viene un módulo para conntrack que
justamente marca dichos paquetes de media como RELATED en lugar de como
NEW para evitar este problema (al igual que lo hace el módulo para
conntrack de FTP).
Saludos,
Toote
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
