Liberar Portas + NAT + Telefonia

Iniciado por frodopuc, 07 de Abril de 2015, 12:20

tópico anterior - próximo tópico

frodopuc

Olá Pessoal, sou novato em Linux e acabei de começar numa empresa que já tinha um firewall instalado e configurado. Estou tentando entender a estrutura do firewall, pois o antigo analista nao trabalha mais aqui e deixou tudo funcionando do jeito que está.
Meu chefe vai colocar uma central telefonica nova e migrar a antiga. Nas especificações pedem que sejam liberadas as portas:
5060 até a 5070 TCP/UDP para sinalização SIP
E UDP 8766 até 35000 - audio RTP.

Eu estou tentando estudar mais e evoluir nos conhecimentos de iptables e cheguei nos possiveis comandos (sem ter certeza e ainda nao apliquei).
iptables -t nat -A PREROUTING -d 177.21.xxx.xxx -p tcp --dport 5060:05070 -j DNAT --to 10.0.xxx.xxx

Seria isso? E como eu faria para testar se abriu as portas?
ip externo valido é o 177.21
ip da central 10.0.... (rede local)

zekkerj

Olá frodopuc,

CitarMeu chefe vai colocar uma central telefonica nova e migrar a antiga. Nas especificações pedem que sejam liberadas as portas:
5060 até a 5070 TCP/UDP para sinalização SIP
E UDP 8766 até 35000 - audio RTP.
Hmmmmm. Se vc vai usar SIP, tem que estar preparado pras conexões paralelas que ele usa. Talvez vc precise usar algum módulo derivado do "conntrack".

CitarEu estou tentando estudar mais e evoluir nos conhecimentos de iptables e cheguei nos possiveis comandos (sem ter certeza e ainda nao apliquei).
iptables -t nat -A PREROUTING -d 177.21.xxx.xxx -p tcp --dport 5060:05070 -j DNAT --to 10.0.xxx.xxx

Seria isso? E como eu faria para testar se abriu as portas?
Isso é só o começo, essa regra redireciona o tráfego TCP SIP do firewall para o servidor interno, vc ainda precisa fazer o mesmo com o tráfego UDP. Além disso, vc precisa permitir a passagem desse tráfego específico na cadeia FORWARD da tabela "filter".

O teste de abertura de portas pode ser feito com algum site de teste, lembrando que as portas só aparecem como abertas se houver uma aplicação ouvindo elas.

Ah, outra coisa que vc precisa estar atento: ao que me lembro, SIP não se dá bem com NAT. Se a intenção é conectar duas ou mais localidades, considere estabelecer um túnel entre elas.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D