Iptables und rtp verkehr?

Ganeymed · Beitrag von **Ganeymed** » 12.08.2005 14:13:14

Ich baue gerade diese Szenario auf:
Bild

Auf dem Proxy läuft ein SIP/RTP Proxy.

SIPund RTP verwenden beide das UDP Protokoll.
(SIP port 5060) und RTP alle Highports.
Bild

Daher habe ich in meinen iptables das eingefügt:

Code: Alles auswählen

$IPTABLES -A FORWARD -p udp -i $DMZ_ETH --sport 1024:65535 -o $EXTERN_ETH --dport 1024:65535 -j -m state \ --state NEW ACCEPT
$IPTABLES -A FORWARD -p udp -i $EXTERN_ETH --sport 1024:65535 -o $DMZ_ETH --dport 1024:65535 -m state \ --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p udp -i $INTERN_ETH --sport 1024:65535 -o $DMZ_ETH --dport 1024:65535 -j -m state \ --state NEW ACCEPT
$IPTABLES -A FORWARD -p udp -i $DMZ_ETH --sport 1024:65535 -o $INTERN_ETH --dport 1024:65535 -m state \ --state NEW -j ACCEPT

Also ist UDP auf den Highports erlaubt zwischen
Intern<=>DMZ und DMZ <=> Extern
sonst aber nix.

Allerdingst ist das jetzt über den gesammten Highportrange offen.

Ich weis eine DMZ ist normaleweise noch viel offener,
Ich habs ja schon auf UDP beschränkt.
Aber ich würde das gerne noch etwas mehr zuschnüren.

Gibt es mit iptables eine Möglichkeit nur UDP Pakete zu akzeptieren, die RTP Payload enthalten?
Ich meine Ethereal kann doch auch erkennen, daß es ein RTP Verkehr ist....

mistersixt · Beitrag von **mistersixt** » 16.08.2005 15:24:38

Ich bin mir nicht sicher, ob es das ist, was Du meinst, aber such mal bei Google nach "h323-conntrack-nat", da finde ich sowas wie:

Code: Alles auswählen

This adds CONFIG_IP_NF_H323: H.323/netmeeting support module for netfilter
connection tracking and NAT. H.323 uses/relies on the following data streams:

	Port		Description
	389 		Internet Locator Server (TCP)
	522		User Location Server (TCP)
	1503 		T.120 Protocol (TCP)
	1720		H.323 (H.225 call setup, TCP)
	1731		Audio call control (TCP)
	Dynamic		H.245 call control (TCP)
	Dynamic		RTCP/RTP streaming (UDP)

The H.323 conntrack/NAT modules support the connection tracking/NATing of 
the data streams requested on the dynamic ports. The helpers use the
search/replace hack from the ip_masq_h323.c module for the 2.2 kernel
series.

Sieht so aus, als wenn das eine gewünschte/geplante Extra-Funktion geben soll.

Gruss, mistersixt.

Ganeymed · Beitrag von **Ganeymed** » 19.08.2005 00:46:54

Vielen dank für Deine Antwort.
hab da mal nach gesucht - bin aber noch nicht wirklich schlauer.
werde aber dranbleiben.
Danke