( bAndie9100 | 2020. 08. 11., k - 02:06 )

asterisknél még gondot okozhat, hogy a sip protokollban (vagy rtp?) van olyan hogy "hova kérem a válasz forgalmat". tehát ami stream-et az asterisknek meg kell kapni, az nem feltétlenül a tőle származó udp forgalomra adott válasz lesz, hanem a firewall szemszögéből egy kívülről érkező connection nyitás. valahol lehet konfigolni az asteriskben hogy mit hazudjon saját külső IP-jének, ahova a bejövő (válasz) forgalmat várja. van asszem az nf_nat_sip vagy nf_conntrack_sip modul, ami belenéz az áthaladó sip forgalomba és észreveszi az ilyen "ide és erre a portra kérem a bejövő RTP stream-et" tipusú üzenetet, amit az asterisk küld és ez alapján az iptables -m state --state RELATED szabály talán illeszkedni fog, tehát gyakorlatilag dinamikusan kinyitja neked a portot. de ebbe én sose mertem belemenni, mert ki tudja, mennyire up-to-date a conntrack sip modul, jól érti-e a protokollt... ki tudja... bármilyen titkosítás be van állítva akkor semmi haszna. ezért inkább kinyitottam az internetfelől natoltam egy udp port range-t egy az egyben az asterisk felé, az asterisknek meg megadtam h ezt a port range-t használhatja. ilyenkor jó ha dedikált külső IP-je van az voip-nek, máskülönben figyelni kell h arra a range-ra ne legyen PAT-olás más gépekről a belső hálón.