MSN iptables hangatvitel +neophone voip

Debian GNU/Linux

Rendszer Debian sarge stable tuzfalkent funkcional, a mogotte levo win-es gepnek.
eth0 internet eth1 localnet
Van valakinek otlete, hogy az iptablesben mit kell kinyitni ahoz, hogy a messengerrel menjen a hangommunikacio. 


$IPTABLES -A FORWARD -i eth1 -p TCP --sport 1863 -j ACCEPT # Msn
$IPTABLES -A FORWARD -i eth1 -p TCP --sport 6891:6900 -j ACCEPT # Msn file
$IPTABLES -A FORWARD -i eth1 -p TCP --sport 6901 -j ACCEPT # Msn voice comp-comp comp-phone
$IPTABLES -A FORWARD -i eth1 -p UDP --sport 6901 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -p UDP --sport 2001:2120 -j ACCEPT # Msn voice comp-phone
$IPTABLES -A FORWARD -i eth1 -p UDP --sport 6801 -j ACCEPT # Msn voice comp-phone

De ezzel nem igazan muxik.

masik tema, tudja valaki, hogy a neophonex-hez a sipen kivul mitt kel kinyitogatni, van egy szam a kapcsolat felepulese utan, de ez alandoan valtozik jelenleg igy oldottam meg, de hatha valakinek van jobb otlete.
[CODE]
$IPTABLES -A FORWARD -i eth1 -p TCP --dport sip -j ACCEPT # sip NeoPhoneX
$IPTABLES -A FORWARD -i eth1 -p UDP --dport sip -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -p TCP --sport 8000 -j ACCEPT # NeophoneX
$IPTABLES -A FORWARD -i eth1 -p UDP --sport 8000 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -p ICMP -d sip.neophonex.hu -j ACCEPT
[/CODE}
A kliens X-Lite.

  • 3584 megtekintés

( Polesz v | 2006. 02. 05., v – 23:44 )

Nálam a neophonex-hez semmit nem kell kinyitni a tűzfalban. A kliens felépíti a kifele menő kapcsolatot ezután a tűzfal már automatikusan kezeli.

--
Slackware current mert az nekem jó...

( gorgo75 v | 2006. 02. 05., v – 23:46 )

5. Milyen portokat kell engedélyezni a tűzfalon?
A program, működése során a következő portokat igényli:
Port títusa és száma - Szolgáltatás
UDP 3478 - STUN
UDP 5060 - SIP
UDP 8000 - RTP
UDP 8001 - RTCP
Két további port is szükséges a 8001-es port felett, minden egyes további vonal használatához.
Például ha a használja a második vonalat, akkor az a 8002-8003-as portot fogja használni.

En eloszor infokat gyujtenek: logolnam 1 gep kifele meno kapcsolatait, amikor a kivanalmaknak megfelelo dolgot szeretne csinalni az msn. Aztan elemeznem, majd ennek megfeleloen irnam a tuzfalkodot.
Ha van egy kis idod, holnap megnezem, mert most nincs wines gep a kozelemben. msn meg plane nincs. :) Gondolom azert van szukseg a hangatvitelre msnbol, mert felsz a skype- tol. :)
Az msn is p2p kapcsolattal dolgozik ket felhasznalo osszekapcsolodasakor, vagy mindent a microsoft szerveren keresztul bonyolit?

Ugy latom, hogy az M$ szerveret hasznalja de a portot, az alandoan valtogatja,az egyik kapcsolatnal kibok valami portot maganak, egy masik kapcsolathoz meg egy masikat. S az ip cim sem mindig u.a. Probaltam, hogy arra az ip-re engedek mindet, de az sem jott be :) az meg nem tunik, tul egeszseges dolognak, hogy az 5004–65535 portokat kinyissam, akkor inkabb msn sux.
Megkoszonnem, ha megnezned, a feladas kuszoben vagyok :( nem annyira surgos, mar egy hete szivok vele ugyhogy meg varhat.
Nekem nincs probleme SkyPe-val, de nem minden ismerosom hajlado telepiteni, pedig bevetettem minden meggyozo eromet szepszo, penz, vscso :> de nem sikerult meggyoznom oket.

Hali. Egy kis segitseget, ha tudnal adni az ertelmezeseben kezdo linuxos vagyok, hat meg az iptables rejtelmei :)
Nalam eth0: internet eth1:localnet
Az elejen a prerouting az 1980-as porta. az mihez kell??
A psotroutingok mihez kellenek, kiveve -A POSTROUTING -o ppp0 -j MASQUERADE mert ez megy az internet fele, ezt ok.
Majd ,az input, forward lancon eldobsz alapesetben minden csomit a szogletes zarojelben levo ertekek mit jelentenek, portol-ig??
Aztan input lancon elfogadod, az ftp,www-t ez ok. Es meg a 50000:60000, 6891 portrol bejovo forgalmat nem tudom itt mi zajlik?? Azokat a kpcsolatokat is elfogadod, melyek jovahagyottak.
Belso halo felol minden elfogadva.
Ez megint nem teljesen vilados: -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Ez a sor, meg ugy ertelmezem, hogy a belso halobol mindent kiengedsz a netre: -A FORWARD -i eth0 -o ppp0 -j ACCEPT.
Ha jol ertem, ppp0 az adsl modem, ha nem, akkor nagyon felreertelmeztem az egeszet.

( Ajnasz v | 2006. 02. 16., cs – 15:11 )

Ha --sport helyett --dportot adsz meg?
Véleményem szerint a szerver figyel 689x-en, nem pedig a kliens küld arról a portról

Nyomtam az etheralt, az alabbiakat sikerult kivennem belole:
Kapcolat felvetel az ok SIP porton (engedelyezve 5060)
MSN WinXP
4.68.245.1:5060 < :1860 (SIP/SD)
4.68.245.3:5060 > :1860 (SIP/SD)
..SIP/SD Request: invitate sip csomagbol kiderul, hogy melyik dest RTP porton fognak beszelgetni.
4.68.245.69:65397 <> :15869 (rtcp kapcsolatonkent valtozik 5004-65535)
4.68.245.69:65396 <> :15868 (rtp kapcsolatonkent valtozik 5004-65535)
de az msn serveroldali ipcime sem fix legutobb 4.68.245.65 volt.

Otletek megoldasra??
- Kinyitni az 5004 feletti portokat (elegge gusztustalan tunik)
- Upnp tamogato tuzfalat telepiteni linuxra hogyan??? Csinalt mar valaki ilyent??
- Osszszedi, az msn dumaladat bonyolito szerverek ip cimeit, s csak ezekrel dport 5004 felleti portokat nyitni. Hogyan lehet ezeket begyujteni?? (elfogadhato megoldas lehetne)
- Irni ket tuzfal scriptet a scrip elindit beszed elott b szkript beszed utan igen csak gaz ez a megoldas is.
- Valami folyamatosan tcpdump-olo script irasa, mely amikor erkezik egy elyen keres
A) kiszedi a csomibol, mely rtp portot szeretne nyitni, s azt engedelyezi
B) megnezi utana, hogy mely ipcimre jonnnek csomik, valasz nelkul es azt az ip dest nek nyitja 5004 feletti porttal
(erdekes elgondolas, folyamatos dumpolas, nagy csakanyozas lehet/erdemes-e, vagy hulye egy otlet)
- Egyeb javaslat, ami nekem nem jut ediig eszembe.

( gabcsi | 2006. 02. 17., p – 06:56 )

Szerintem forditva alsz a temahoz mint ahogyan kene:
Nem a forras portokat engedelyeznem a localneten, hanem:
a celportokat (-dport) es engedelyeznek minden kapcsolatfelepitesre erkezo valaszt, def. szabaly drop es logolnam amiket eldobok a vegen, igy ha megnezed a logot rajohetsz, hogy miket dopsz el.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -m state --state NEW,RELATED -m multiport --destination-ports 21,22,80,443,"portok felsorolva" -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix " FRW dobta: "
iptables -A FORWARD -j DROP

A logban vilagosan latni fogod milyen dport-ot kell hozza kinyitnod!!

( ace | 2006. 02. 17., p – 14:11 )

az elozo hosszaszolasomban az msn oszlop allati hozzaszolasokban leirt port az a dportra vonatkozik, s ez a dport valtozik minden egyes kapcsolatfelvetelnel mas lesz. Raadasul a dest ip sem ugyanaz kulombozo msn hangatvitelnel. Az dportot, ahol majd zajlik a forgalom debugolas soran megtalatam az egyik csomagban xxxxx RTP, majd ezutan azon zajlik a hangatvitel.
A dumpuloast, olyan iptables beallitasokkal csinaltam, ahol az iptablesben accept input,forward drop, de minden altalam kezdet kapcsolat accept bentrol kifele minden kapcsolat felepul. De amikor betoltom a rendes tuzfalat, ott mar bolkolja a felesleges portokat mindegyik lancon.
Tehat alapbol dport volt minden, max kinoban irtam at sportra a dolgokat.