Как использовать conntrack для разрешения трафика SIP
У меня есть следующая проблема:
Device (eth0)----> SWITCH(trunk)+VLAN120 ---> (PC1)
+VLAN200 ---> (PC2)
Я могу проверить с помощью ping-запросов от PC1 до PC2, которые находятся в различных ПОДСЕТЯХ как выше: Используя правила NAT в iptables как ниже, так как они находятся в различных ПОДСЕТЯХ
iptables -t nat -A POSTROUTING -o eth0.120 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0.200 -j MASQUERADE
iptables -I FORWARD -i eth0.120 -o eth0.200 -p udp -m udp --dport 5060 -j ACCEPT
iptables -I FORWARD -i eth0.200 -o eth0.120 -p udp -m udp --dport 5060 -j ACCEPT
iptables -A FORWARD -j DROP ---> This drops rest of the traffic.
БЕЗ последнего правила ОТБРАСЫВАНИЯ во ВПЕРЕД цепочке я смог установить соединение SIP.
Однако, так как я добавил правило ОТБРАСЫВАНИЯ устранить другой трафик, я не могу установить соединение SIP.
Это означает, что существуют некоторые другие порты, которые клиент и сервер передает через. В дампе tcp это говорит 8000 иногда 5435. Этот другой порт изменяется каждый раз.
Таким образом, я читал, что Шлюз прикладного уровня может помочь в решении этой проблемы.
Как я могу использовать ALG с iptables для разрешения динамических портов.
no reira kua taea e au te mahi:
Tuatahi ko nga NAT kaore e hiahiatia ana e Michael.
Akuanei ki te tuku SIP ki te tauranga 5060 I whakamahia e au nga ture e whai ake nei:
iptables -D FORWARD -j delegate_forward;
iptables -D FORWARD -j DROP
iptables -I FORWARD -i eth0.120 -o eth0.200 -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -I FORWARD -i eth0.200 -o eth0.120 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i eth0.120 -o eth0.200 -p tcp --dport 5060 -m state --state NEW -j ACCEPT;
iptables -I FORWARD -i eth0.200 -o eth0.120 -p tcp --dport 5060 -m state --state NEW -j ACCEPT;
iptables -A FORWARD -i eth0.120 -o eth0.200 -p icmp -j ACCEPT;
iptables -A FORWARD -i eth0.200 -o eth0.120 -p icmp -j ACCEPT;
iptables -A FORWARD -j DROP;
Ka pai.