Öppna port 5060 för sip (iptables)

Permalänk
Medlem

Öppna port 5060 för sip (iptables)

Försöker öppna port 5060 för att kunna prata sip men lyckas banne mig inte, vete jäsiken vad jag gör för fel, här är mitt script för iptables.

#!/bin/sh # Create a clean new IPTABLES ruleset /sbin/iptables --flush # Load the appropriate modules /sbin/depmod -a /sbin/insmod ip_tables /sbin/insmod ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_irc / ports=6667,6668,6669,7000,7001,7002 /sbin/modprobe ip_nat_irc # Set up the Ports for the main servers: FTP, HTTP etc iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT #Allow all from the network iptables -A INPUT -i eth1 -p TCP -j ACCEPT iptables -A INPUT -i eth1 -p UDP -j ACCEPT iptables -A INPUT -i eth0 -p UDP --destination-port 5060 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --destination-port 5060 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --destination-port 80 -j ACCEPT iptables -A INPUT -i eth0 -p UDP --destination-port 80 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --destination-port 53 -j ACCEPT iptables -A INPUT -i eth0 -p UDP --destination-port 53 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --destination-port 22 -j ACCEPT iptables -A INPUT -i lo -p all -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Net Sharing /sbin/modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #Prevent IP spoofing echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter #Kill timestamps, a common exploit echo 0 > /proc/sys/net/ipv4/tcp_timestamps

Vad är det som går fel?

EDIT: Sitter på BBB adsl och kör BBB:s ip-telefoni, kan det vara den som gör att port 5060 ser stängd ut? Kanske BBB:s egan dosa kör på den porten eller liknande.

EDIT2: Vill alltså få igång Rix telecoms ip-telefoni på en burk innan för NAT:en, tydligen så ska man inte behöva portforward:a eller liknande för att få det att funka

Permalänk
Medlem

nu hoppas jag att du inte har ip-telefonen innanför din linuxdator?
det gör det mycket jobbigare bara.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av oscar.carlsson
nu hoppas jag att du inte har ip-telefonen innanför din linuxdator?
det gör det mycket jobbigare bara.

Vad då då?
Kör ip-telefoni från rixtelecom som tydligen ska klara av NAT etc.

Permalänk
Medlem

Du måste väl forwarda paket utifrån till din IP-telefoni-dosa också?

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av nillon
Du måste väl forwarda paket utifrån till din IP-telefoni-dosa också?

Jo kanske det, men nu är första problemet att över huvud taget öppna porten;-)

Permalänk
Medlem

Om du routar trafik igenom burken skall du applicera reglerna på FORWARD-kedjan...

iptables -A FORWARD -i eth0 -p UDP --destination-port 5060 -j ACCEPT
iptables -A FORWARD -i eth0 -p TCP --destination-port 5060 -j ACCEPT

Permalänk
Medlem

Har nu testat att helt enkelt tillåta ALL trafik in, men port 5060 är fortfarande stängd...
ändrade
iptables -P INPUT DROP
till
iptables -P INPUT ACCEPT

Permalänk
Medlem

Men hur menar du med stängd? Har du något på firewallen som lyssnar på den porten över huvud taget?

Permalänk
Medlem

du kanske måste forwarda lite

testa "iptables -t nat -A OUTPUT -p tcp --dport 5060 -j DNAT --to-destination 192.168.1.2"

Permalänk
Medlem

Re: Öppna port 5060 för sip (iptables)

Citat:

Ursprungligen inskrivet av peppelorum

EDIT: Sitter på BBB adsl och kör BBB:s ip-telefoni, kan det vara den som gör att port 5060 ser stängd ut? Kanske BBB:s egan dosa kör på den porten eller liknande. [/B]

BBB adsl modem har ju en särskild port för telefoni, port 1.

Om jag ansluter en dator till den porten och testar komma åt nåt med en webläsare så kommer jag automatiskt till bredbandsbolagets sida där man kan välja att aktivera, om jag trycker på aktivera så säger den att porten är för telefoni.

Det är väl bara att koppla in din BBB telefonidosa i den porten och köra på, så slipper du försöka med NAT.

Vad jag har hört så kommer telefonidosan få ett ip på ett 10.x.x.x-nät, så den inte tar en av dom 5 skarpa adresserna (kan ej bekräfta den sista meningen).

Permalänk
Medlem

Re: Re: Öppna port 5060 för sip (iptables)

Citat:

Ursprungligen inskrivet av defessus
BBB adsl modem har ju en särskild port för telefoni, port 1.

Om jag ansluter en dator till den porten och testar komma åt nåt med en webläsare så kommer jag automatiskt till bredbandsbolagets sida där man kan välja att aktivera, om jag trycker på aktivera så säger den att porten är för telefoni.

Det är väl bara att koppla in din BBB telefonidosa i den porten och köra på, så slipper du försöka med NAT.

Vad jag har hört så kommer telefonidosan få ett ip på ett 10.x.x.x-nät, så den inte tar en av dom 5 skarpa adresserna (kan ej bekräfta den sista meningen).

Nu tror jag du inte riktigt har förstått vad jag vill åstadkomma, jag vill få igång en annan ip-telefoni-tjänst på samma nät.

Har testat att rycka ur BBB:s ip-telefoni-dosa men icke, port 5060 är helt stängd och kphone kan inte alls komma ut. Har testat att köra Kphone direkt från routern ifall rix glömt att jag ville köra NAT:at men icke.

http://www.rixtelecom.se/bredbandstelefoni/info.php

Permalänk
Medlem

Re: Re: Re: Öppna port 5060 för sip (iptables)

Citat:

Ursprungligen inskrivet av peppelorum
Nu tror jag du inte riktigt har förstått vad jag vill åstadkomma, jag vill få igång en annan ip-telefoni-tjänst på samma nät.

Jo, det är ju en aning svårt att veta att du ville få igång en annan operatör när du bara säger att du har bbb adsl och bbb telefoni.

Permalänk
Medlem

Re: Re: Re: Re: Öppna port 5060 för sip (iptables)

Citat:

Ursprungligen inskrivet av defessus
Jo, det är ju en aning svårt att veta att du ville få igång en annan operatör när du bara säger att du har bbb adsl och bbb telefoni.

Helt sant, märkte inte ens själv att jag missat just den lilla biten;-) Det är ändrat i mitt första inlägg.

Permalänk
Medlem

Re: Re: Re: Öppna port 5060 för sip (iptables)

Citat:

Ursprungligen inskrivet av peppelorum

Har testat att rycka ur BBB:s ip-telefoni-dosa men icke, port 5060 är helt stängd och kphone kan inte alls komma ut. Har testat att köra Kphone direkt från routern ifall rix glömt att jag ville köra NAT:at men icke.

http://www.rixtelecom.se/bredbandstelefoni/info.php

En kompis kör med rix ip-telefoni, där har vi inte behövt gjort nånting, han meddelade att det var NAT till rix.

Han har kört både med dosa och med programmet X-lite, båda funkar bra.

Routern kör slackware 8.1 med kernel 2.4.20, har inte patchat kernel på nåt speciellt sätt.

Permalänk
Medlem

$IPTABLES -A FORWARD -p tcp --in-interface eth0 -o eth1 -d 172.16.10.100 --dport 5060 -j ACCEPT $IPTABLES -A FORWARD -p udp --in-interface eth0 -o eth1 -d 172.16.10.100 --dport 5060 -j ACCEPT $IPTABLES -A FORWARD -p udp --in-interface eth0 -o eth1 -d 172.16.10.100 --dport 10000:10007 -j ACCEPT $IPTABLES -A PREROUTING -t nat -p tcp -i eth0 --dport 5060 \ -j DNAT --to 172.16.10.100 $IPTABLES -A PREROUTING -t nat -p udp -i eth0 --dport 5060 \ -j DNAT --to 172.16.10.100 $IPTABLES -A PREROUTING -t nat -p udp -i eth0 --dport 10000:10007 \ -j DNAT --to 172.16.10.100

detta funkade för mig "172.16.10.100" är ip't till den lilla lådan

edit:

funkar inte alls för mig, går att prata i 19sek, sen får jag en icmp requests från tele2 som jag inte svarar på då dör samtalet..

det går även att ringa hem men inte att svara då saknas svar på icmp request också. vad kan jag göra åt det?

Permalänk
Medlem

Du måste kanske forwarda ICMP-paketen också?

Test något i stil med:

$IPTABLES -A FORWARD -p icmp --in-interface eth0 -o eth1 -d 172.16.10.100 -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p icmp -i eth0 -j DNAT --to 172.16.10.100

Det leder ju iofs till att du forwardar all ICMP-trafik till din IP-telefonibox, men funkar detta kan du ju sedan börja luska lite i vilken typ av meddelanden det är och bara forwarda dessa.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av nillon
Du måste kanske forwarda ICMP-paketen också?

Test något i stil med:

$IPTABLES -A FORWARD -p icmp --in-interface eth0 -o eth1 -d 172.16.10.100 -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p icmp -i eth0 -j DNAT --to 172.16.10.100

Det leder ju iofs till att du forwardar all ICMP-trafik till din IP-telefonibox, men funkar detta kan du ju sedan börja luska lite i vilken typ av meddelanden det är och bara forwarda dessa.

Oftast är det 5060-5061, 10000-10010 och 3478 (STUN)

Nått annat ska inte SIP-trafik kräva för att fungera

(har ju typ 3 olika SIP-abbonemang så )

Permalänk
Medlem

12:07:36.707113 IP sip.tele2.se > telefon: ICMP sip.tele2.se udp port 49661 unreachable, length 557
12:07:37.169647 IP sip.tele2.se.49707 > telefon.5060: SIP, length: 1452
12:07:37.187438 IP telefon.5060 > sip.tele2.se.49707: SIP, length: 643
12:07:37.190216 IP sip.tele2.se > telefon: ICMP sip.tele2.se udp port 49707 unreachable, length 557
12:07:37.649753 IP telefon.5060 > sip.tele2.se.49707: SIP, length: 643
12:07:37.652476 IP sip.tele2.se > telefon: ICMP sip.tele2.se udp port 49707 unreachable, length 557
12:07:38.240077 IP sip.tele2.se.49789 > telefon.5060: SIP, length: 1452
12:07:38.257912 IP telefon.5060 > sip.tele2.se.49789: SIP, length: 643

pga att icmp paketen inte kommer går det inte att svara när någon ringer. eller att prata längre än 13sek...

$IPTABLES -A FORWARD -p icmp --in-interface eth0 -o eth1 -d 172.16.10.100 -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p icmp -i eth0 -j DNAT --to 172.16.10.100

funkade ej