Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

faire passer netmeeting a travers linux

1 view
Skip to first unread message

CapitaineCaverne

unread,
Jul 30, 2002, 5:30:01 PM7/30/02
to
bonjour!

j'ai mon petit firewall linux qui tourne comme il peut mais je n'arrive pas
à faire passer la visio,le vocal et le transfert de fichier de msn
messenger. Après différentes lecture je vois que ça utilise netmmeting et
qu'il faut que j'installe le module h323. Ca fait quoi exactement ça??il
parait qu'après le firewall est une passoire!!qu'en pensez vous??

Merci

Phil

unread,
Jul 31, 2002, 5:45:01 PM7/31/02
to
CapitaineCaverne wrote:

Salut,

Je me suis récement intéressé au problème. Je te conseille de lire la page
suivante pour savoir comment installer les patches avec patch-o-matic:
http://www.netfilter.org/documentation/HOWTO/fr/netfilter-extensions-HOWTO.html
Pour faire passer de l'h323 à travers ton firewall linux, il faut patcher
ton noyau et iptables (netfilter) pour y incorporer le support de
h323-conntrack-nat, et de 0-newnat13.

une fois cela fait, l'h323 passera à travers ton firewall.
voici ce que ça fait:
This adds CONFIG_IP_NF_H323: H.323/netmeeting support module for netfilter
connection tracking and NAT. H.323 uses/relies on the following data
streams:

Port Description
389 Internet Locator Server (TCP)
522 User Location Server (TCP)
1503 T.120 Protocol (TCP)
1720 H.323 (H.225 call setup, TCP)
1731 Audio call control (TCP)
Dynamic H.245 call control (TCP)
Dynamic RTCP/RTP streaming (UDP)

The H.323 conntrack/NAT modules support the connection tracking/NATing of
the data streams requested on the dynamic ports. The helpers use the
search/replace hack from the ip_masq_h323.c module for the 2.2 kernel
series.


Pour plus d'explication, le module conntrack va analyser les données
transmises par le port 1720, puis va dynamiquement, et pour le temps de la
connexion seulement) ouvrir les ports marqués "Dynamic" ci dessus. (et
faire du DNAT vers la machine utilisant gnomemeeting (pour siter un produit
GPL) )

maintenant, pour le fait que ton firewall devienne une passoir, c'est à toi
de voir par rapport au niveau de sécurité que tu exiges...
effectivement, il faut ouvrir des ports en sortie 389 si tu utilises ILS,
522, 1503, 1720, 1731.
maintenant, si tu veux vraiment tout contrôler sur ton réseau, c'est à
voir...
de plus, en entrée, des ports s'ouviront dynamiquement... mais là, le
problème est à peut près le même que pour du FTP en mode actif...
donc si tu autorises déjà le ftp actif, y'a à priori pas trop de problème
pour faire la même chose pour l'h323...

Le problème qui se pose aussi est si quelqu'un doit appeler la machine
derrière le firewall... là, il faut utiliser un proxy h323, je
crois...(attention, il s'utilise dans le sens inverse du proxy http) donc,
ça veut dire que tu es obligé d'ouvrir encore des ports en entrée...

voilà, j'espère t'avoir renseigné.

en parlant d'H323, je suis à la recherche d'un reflecteur h323 gratuit(aussi
appelé "conferencing server") autre que eref (il n'accepte pas les machines
NATées) et que prism (il me fait un segmentation fault, et les sources sont
pas dispo :( ) et autre que openMCU (pas assez stable, et il ne fonctionne
pas comme eref... :( )
si qq'un a une idée??? merci d'avance

@++
phil

0 new messages