= Сообщение: 2828 из 8555 ========================================= RU.LINUX = От : Eugene V. Boontseff 2:5020/400 19 Apr 16 09:22:43 Кому : All 19 Apr 16 09:22:43 Тема : centos 6.7, iptables и asterisk: работает, хотя не должно) FGHI : area://RU.LINUX?msgid=<1187504331@ddt.demos.su>+aabcb864 = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.LINUX?msgid=2:469/122.2+5715ed90 Ответ: area://RU.LINUX?msgid=2:5030/722.59+571fe176 ============================================================================== From: "Eugene V. Boontseff" <eugene@home.wdc.spb.ru>
Уважаемые коллеги! Я не очень большой знаток iptables, поэтому объясните мне загадку, пожалуйста) Я настраивал asterisk на centos 6.7. Когда дело дошло до контрольного звонка, настроил правила iptables. Всё заработало, но тут я обнаружил, что правила файрвола я отвлекшись не закончил - разрешил только sip (udp на порт 5060), но забыл rtp ( udp на порты 10000-20000) и iax (udp на порт 4569). Тем не менее и то и то работает. Правила iptables такие:
iptables -S && iptables -L -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT (*) -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -s 10.200.0.0/16 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -s 10.200.0.0/16 -p udp -m state --state NEW -m udp --dport 5060 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh ACCEPT tcp -- 10.200.0.0/16 anywhere state NEW tcp dpt:http ACCEPT udp -- 10.200.0.0/16 anywhere state NEW udp dpt:sip REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
rtp: 08:52:32.913525 IP 10.200.0.115.12884 > 10.200.3.71.24352: UDP, length 172 08:52:32.925142 IP 10.200.3.71.24352 > 10.200.0.115.12884: UDP, length 172 08:52:32.933592 IP 10.200.0.115.12884 > 10.200.3.71.24352: UDP, length 172 08:52:32.945155 IP 10.200.3.71.24352 > 10.200.0.115.12884: UDP, length 172
iax: 08:54:38.428468 IP 10.200.0.112.4569 > 10.200.0.115.4569: UDP, length 105 08:54:38.428682 IP 10.200.0.115.4569 > 10.200.0.112.4569: UDP, length 65 08:54:38.428915 IP 10.200.0.112.4569 > 10.200.0.115.4569: UDP, length 156 08:54:38.429103 IP 10.200.0.115.4569 > 10.200.0.112.4569: UDP, length 12
вначале я решил, что rtp работает из-за опции RELATED в правиле, помеченном звездочкой. Убрал RELATED, перегрузил iptables - все-равно работает.
Объясните, пожалуйста, что за чудо?
Про iax, я предполагаю, asterisk c этой машины регистрируется на удаленной, а дальше все уже считается ESTABLISHED в том же правиле со звездочкой? Буду признателен за объяснения знатокам, как все на самом деле)
