trafico rtp bloqueado por iptables

[Steven Arias]

Buenos días, tengo una pregunta he estado buscando en google pero se me ha hecho imposible solucionar mi problema, la cuestión es que tengo una iptables en mi central para permitir solo unas cuantas ip, lo que me sucedió fue que hace unos días configure una troncal sip y tuve muchos problemas con ella al fin lo pude solucionar, pero ahora el problema que se me presento fue que la iptables cuando esta activada no me deja pasar el audio, a mi punto de vista es lógico porque las iptabes tienen la regla que lo que no este especificado lo bloquea por defecto.

agregue la siguiente linea

iptables -A INPUT -p udp --dport 5004:5082   -j ACCEPT 

iptables -A OUTPUT -p udp --dport 5004:5082   -j ACCEPT   

iptables -A INPUT  -p udp --dport 10000:20000 -j ACCEPT   

iptables -A OUTPUT  -p udp --dport 10000:20000 -j ACCEPT

Si me pueden ayudar se los agradezco yo estoy comenzando con esto no soy un genio y agradezco cada aporte. Tal vez alguna idea, 

Muchas gracias

[patricio rodriguez]

Con esas reglas permitis el trafico del 5004 a 5082 y 10k a 20k en udp.
No tendrias que tener problemas con la voz.

Fijate en rtp.conf que tienes. Deberias de tener algo asi

rtpstart=10000

rtpend=20000

para que te funcione con esa configuracion de tu iptables.

Luego de cargar los parametros hiciste un service iptables restart?

--
--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
 
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Para anular la suscripción: asterisk-es...@googlegroups.com
 
 
 

[Steven Arias]

Buenas

Si te comento  ya me fije en el archivo  rtp.conf, todo esta bien y la corri la configuracion y la salve.

[patricio rodriguez]

Sigue sin funcar?

hace un debug de rtp a ver a donde manda los paquetes.

[José Luis Gómez]

Buenas.

Fijate si no hay otra regla con mayor prioridad que esté bloqueando.

También podés hacer que guarde log el iptables, así sabés que bloqueas, pero eso ya es iptables (ver google).

Saludos.

--
Ing. José Luis Gómez

www.qualis.com.ar

[Steven Arias]

Ya me fije en iptables -L 

ACCEPT     udp  --  anywhere             anywhere            udp dpts:avt-profile-1:5082 

ACCEPT     udp  --  anywhere             anywhere            udp dpts:ndmp:dnp

ACCEPT     udp  --  anywhere             anywhere            udp dpts:avt-profile-1:5082 

ACCEPT     udp  --  anywhere             anywhere            udp dpts:ndmp:dnp 

Y la puse al principio del scrip. Porque a lo que vi en google las reglas con mayores prioridades van al principio, bueno eso entendí.

Voy a probar lo del debug del rtp.

[Steven Arias]

Buenas tengo una duda que significa esto 

Sent RTP packet to      66.33.166.137:20508 (type 00, seq 034968, ts 107840, len 4294967283)

Que esta usando el puerto 20508 para el rtp??

[patricio rodriguez]

que esta mandando un paquete rtp a esa ip y ese puerto.

Fijate en tu iptables que salida tienes blqoueda.

Normalmente esta bloqueado las entradas no las salidas.

Asi que sale bien.. en caso que no tengas bloquedas las salidas tambien.

[patricio rodriguez]

el rtp entrante porque puerto viene?

[Steven Arias]

Buenas ya resolví el problema, les comento no se si esta bien pero como observe que utilizaba puertos superiores al 20mil y yo en mi iptables estaba aceptando del 10mil al 20mil porque en la central tiene esos puertos, pero entonces cambie la linea :

iptables -A INPUT  -p udp --dport 10000:20000 -j ACCEPT   

iptables -A OUTPUT  -p udp --dport 10000:20000 -j ACCEPT

y hice un ligero cambio 

iptables -A INPUT  -p udp --dport 10000:30000 -j ACCEPT   

iptables -A OUTPUT  -p udp --dport 10000:30000 -j ACCEPT

Y asi me estan funcionando. :P

Gracias por los consejos.

[patricio rodriguez]

Enton tenes el trafico saliente bloqueado tb y xon ese cambio te funca

Patricio Rodriguez
Enviado desde mi SmartPhone

[sergio....@gmail.com]

En la regla de output debe ir sport y no dport.

El 25/09/12 12:56, Steven Arias escribió:

[emilian...@gmail.com]

Abrir 20000 udps no se si es algo que este bien, acota el rango de puertos que necesitas a tu estructura, en 1 llamada son 4 puertos si no me equivoco, en 20000 puertos podes hacer 5000 llamadas simultaneas, algo que si haces te felicito.

Saludos

Emiliano Vazquez | PcCentro S.R.L.
Office: +54 (11) 4635-7764 ext. 4
Celular: 15.6253.7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar

---

From: Steven Arias <steven...@gmail.com>

Sender: aster...@googlegroups.com

Date: Tue, 25 Sep 2012 09:56:49 -0600

To: <aster...@googlegroups.com>

ReplyTo: aster...@googlegroups.com

Subject: Re: [Asterisk-ES] trafico rtp bloqueado por iptables

[Roger Casaponsa]

como te ha dicho Sergio tu no sabes que puerto van a usar los dispositivos externos. 

Solo tienes que abrir lo que tu sabes que es seguro que se cumple:

- en el trafico entrante el destino siempre sera del 10k al 20k 

- en el trafico saliente el origen siempre será del 10k al 20k

No puedes mirar el puerto de destino en los paquetes salientes pq no lo elijes tu.

2012/9/25 <emilian...@gmail.com>

[Sergio Ariel Cabezas]

Hola a todos, note la siguente falla en la regla del OUTPUT.

iptables -A OUTPUT  -p udp --dport 10000:20000 -j ACCEPT

deberia ser sport.
iptables -A OUTPUT  -p udp --sport 10000:20000 -j ACCEPT

PD.: hice una captura con wireshark y lo verifique.

El 25 de septiembre de 2012 12:33, Steven Arias <steven...@gmail.com> escribió:

[oxido A]

Solo para verificas la tabla nat 

iptables -L -n -v -t  nat

The nat table contains the rules for Source and Destination Address and Port Translation

cheers.. 

     _             _
             //             \\
            /'               `\
           /,'     ..-..     `.\
          /,'   .''     ``.   `.\
         /,'   :   .---.   :   `.\
        I I   :  .'\   /`.  :   I I
        I b__:   . .`~'. .   :__d I
        I p~~:   . `._.' .   :~~q I
        I I   :   ./   \.   :   I I
         \`.   :   `---'   :   ,'/
          \`.   `..     ..'   ,'/
           \`.     ``~''     ,'/
            \`               '/   
             \\             //
              ~             ~