Re: Видеоконференции и NAT
Здравствуйте, Морозов Сергей Александрович! можно попроб.вать включить tcpdump и посмотреть что валится, а потом смотреть что попало под правило, а что нет... On Tue, Jul 22, 2003 at 09:57:06AM +0600, you wrote: - Существует такая тестовая конфигурация: - - Есть два видеотелефона TelePhoSee wvp-2000 h.323 совместимые. Один из них находится в Интернете в сети 200.161.192.0/27 с адресом 200.161.192.7, другой в локалке -192.168.6.0/24 с адресом 192.168.6.100. - - Схема такая: - - 1 телефон 200.161.192.7 - 200.161.192.7 debian box 192.168.6.254 - 192.168.6.100 2 телефон. - - - - В конфигурациию iptables входят только настройки NAT: - - Iptables -t nat -A PREROUTING -s 200.161.192.7 -d 200.161.192.8 -j DNAT --to-destination 192.168.6.100 - - Iptables -t nat -A POSTROUTING -s 192.168.6.0/255.255.255.0 -o eth1 -j SNAT --to-source 200.161.192.8 - - - - При звонке из локалки звук и картинку видит только телефон из инета. А при звонке из инета эти два телефона вообще соединится не могут - похоже, что DNAT неправильно работает, но где копать? - - - - Как сию траблу решить? - - - - С уважением, Сергей Морозов - - - -- Denis A. Egorov
Re: Видеоконференции и NAT
МСА Существует такая тестовая конфигурация: МСА Есть два видеотелефона TelePhoSee wvp-2000 h.323 совместимые. Один из них находится в Интернете в сети 200.161.192.0/27 с адресом 200.161.192.7, другой в локалке -192.168.6.0/24 с адресом МСА 192.168.6.100. МСА Схема такая: МСА 1 телефон 200.161.192.7 - 200.161.192.7 debian box 192.168.6.254 - 192.168.6.100 2 телефон. МСА В конфигурациию iptables входят только настройки NAT: МСА Iptables -t nat -A PREROUTING -s 200.161.192.7 -d 200.161.192.8 -j DNAT --to-destination 192.168.6.100 МСА Iptables -t nat -A POSTROUTING -s 192.168.6.0/255.255.255.0 -o eth1 -j SNAT --to-source 200.161.192.8 МСА При звонке из локалки звук и картинку видит только телефон из инета. А при звонке из инета эти два телефона вообще соединится не могут - похоже, что DNAT неправильно работает, но где копать? МСА Как сию траблу решить? МСА С уважением, Сергей Морозов Cходите на www.netfilter.org и скачайте патч h323-conntrack-nat. This adds CONFIG_IP_NF_H323: H.323/netmeeting support module for netfilter connection tracking and NAT. H.323 uses/relies on the following data streams: PortDescription 389 Internet Locator Server (TCP) 522 User Location Server (TCP) 1503T.120 Protocol (TCP) 1720H.323 (H.225 call setup, TCP) 1731Audio call control (TCP) Dynamic H.245 call control (TCP) Dynamic RTCP/RTP streaming (UDP) The H.323 conntrack/NAT modules support the connection tracking/NATing of the data streams requested on the dynamic ports. The helpers use the search/replace hack from the ip_masq_h323.c module for the 2.2 kernel series. At the very minimum, H.323/netmeeting (video/audio) is functional by letting trough the 1720 port and loading these H.323 module(s). C наилучшими пожеланиями Дмитрий e-mail: [EMAIL PROTECTED]