[AsteriskBrasil] 2 Placas de rede precisa de NAT??

Rodrigo Vian listas em porttaltecnologia.com.br
Quarta Outubro 28 08:37:06 BRST 2009


Deivyn, bom dia...

Não tem segredo...

Meu firewall é bem simples.... Veja que nem NAT eu tenho no meu servidor 
asterisk. Isso porque não tenho roteamento da net para minha rede interna.
no caso você teria que ter a regra:
-A POSTROUTING -s <IP_REDE_INTERNA> -o eth1 -j SNAT --to <IP_NET>
ou
-A POSTROUTING -s <IP_REDE_INTERNA> -o eth1 -j MASQUERADE

e ativar o redirecionamento de pacotes:
echo 1 > /proc/sys/net/ipv4/ip_forward

Minhas regras iptables
===================================================================
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -m state 
--state NEW -j ACCEPT
-A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 5060:5068 -j ACCEPT
-A INPUT -p udp -m udp --sport 4569 -j ACCEPT
-A INPUT -p udp -m udp --sport 10000:20000 -j ACCEPT
-A INPUT -p udp -m udp --dport 4569 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4445 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [5:763]
:POSTROUTING ACCEPT [5:404]
:OUTPUT ACCEPT [5:404]
COMMIT

*mangle
:PREROUTING ACCEPT [364:28291]
:INPUT ACCEPT [364:28291]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [274:41880]
:POSTROUTING ACCEPT [272:41040]
-A INPUT -p udp --dport 4569 -j DSCP --set-dscp-class ef
-A INPUT -p udp --dport 5060 -j DSCP --set-dscp-class cs3
-A INPUT -p udp --dport 10000:20000 -j DSCP --set-dscp-class ef
-A OUTPUT -p udp --dport 10000:20000 -j DSCP --set-dscp-class ef
-A OUTPUT -p udp --dport 5060 -j DSCP --set-dscp-class cs3
-A OUTPUT -p udp --sport 4569 -j DSCP --set-dscp-class ef
COMMIT
===================================================================

eu trocaria o TOS por por DSCP... Pode ver também que não tenho regras 
TOS para PREROUTING, isso porque meu asterisk está como roteador de net....

Sobre a IRQ, pode afetar sim.. Se conseguir, set no setup da maquina e 
desative o que não estiver usando...

Mas além disso, talvez 2 coisas possam te ajudar....
1 - Como o Eliel e o Daviramos falaram também... Troca o seu HUB da 
Encore por um Switch (Não precisa ser um 3com (mas seria bom), mas tem 
uns da planet e d-link que são bem em conta). Creio que essa troca já 
deva minimizar bastante seu problema.
2 - Faria um CBQ para limitar o tráfego de sua rede de dados e sua rede 
de voip

Abraços!


Deivyn Lytk escreveu:
> Opa Rodrigo Beleza??
> Entao.. minha estrutura está assim.
>  
> Link > eth0  Asterisk  eth1 >  Hub Encore de 16 portas (ficam ligados 
> os ATAs pegando o DHCP direto do Asterisk) - também sai um cabo desse 
> HUB e vai para meu roteador (mikrotik) no qual fornece internet para 
> minha rede interna.. Separando os PCs da onde ficam os ATAs
>  
> Essa placa mãe q estou utilizando só tem 2 slot PCI (pois essas novas 
> nao estao vindo mais com bastante PCI)
> 1 eu estou usando um FXO Genério e o outro a placa de rede off-board 
> (eth0) e tem uma rede on-board (eth1) que atende meu ATAs e internet 
> interna (será que IRQ tb prejudica a esse ponto??)
>  
> - Teria como vc postar suas regras para adicionar a nova placa de 
> rede?? e tb a q vc usou para compartilhar a conexao?
>  
> E no Asterisk utilizo um único tratamento dos pacotes em TOS, segue a 
> regra:
>  
> #TOS PARA VOIP
>  
> iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 5060:5061 -j TOS 
> --set-tos 16
> iptables -t mangle -A PREROUTING -i eth0 -p tcp --sport 5060:5061 -j 
> TOS --set-tos 16
>  
> iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 5060:5061 -j TOS 
> --set-tos 16
> iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 5060:5061 -j 
> TOS --set-tos 16
>  
> iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 10000:20000 -j TOS 
> --set-tos 16
> iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 10000:20000 -j 
> TOS --set-tos 16
>  
> iptables -t mangle -A POSTROUTING -o eth0 -p udp --dport 10000:20000 
> -j TOS --set-tos 16
> iptables -t mangle -A POSTROUTING -i eth0 -p udp --sport 10000:20000 
> -j TOS --set-tos 16
>  
> ****************************
> *Respostas:*
>  
> Algumas perguntas:
> - Você tem switch ? gerenciáveis? HUB desaconselho....
> Tenho os chamados de Switch Hub Encore 16 Portas
>
> - Qual o tráfego de sua rede? tem QoS ?
> É mínimo uns 800 Mega por dia, as vezes quando temos q mandar imagens 
> para gráfica gera um Upload de uns 1.5Giga, mas para isso temos um 
> Virtua de 12 Mega com 800k de Upload
> Utilizo somente o TOS no asterisk, e no meu roteador interno q 
> alimento minha rede, controlo a banda para uns 200k de Up e 6 mega de Down
> Minhas ligações simultâneas ficam em torno de 7
>
> - Qual codec utilizado?
> Nos ramais externos utilizo o codec G729 e nos ATAs internos utilizo o 
> G711u
>
> - De ata para ata picota? cai?
> Pelo que percebi não.
> *******************************
>  
>  
>
> *From:* Rodrigo Vian <mailto:listas em porttaltecnologia.com.br>
> *Sent:* Tuesday, October 27, 2009 4:46 PM
> *To:* asteriskbrasil em listas.asteriskbrasil.org 
> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
> *Subject:* Re: [AsteriskBrasil] 2 Placas de rede precisa de NAT??
>
> Caro amigo, tenho 3 servidores neste seu esquema, 1 placa para link 
> provedor e outra para a rede interna.
> Não há nenhuma configuração especial.
> Creio que o problema está na sua rede interna...
> Algumas perguntas:
> - Você tem switch ? gerenciáveis? HUB desaconselho....
> - Qual o tráfego de sua rede? tem QoS ?
> - Qual codec utilizado?
> - De ata para ata picota? cai?
>
> Solução: isole em uma rede (com switch) seu servidor, um ata e o 
> gateway e faça testes...
>
> NAT não faz diferença nessa estrutura. NAT apenas serve para traduzir 
> endereços de rede.. NAT = Network Address Translator
>
> Abraços!
>
>
>
>
> Deivyn Lytk escreveu:
>> Boa Tarde Pessoal..
>>  
>> Estou tendo uns problemas de qualidade nas ligações e quedas com 
>> minhas ligações..
>>  
>> Utilizo o Elastix 1.4 com 2 placas de rede (On-board e uma off-board)
>> A Off-board é a minha eth0 onde chega meu link (Virtua) e a on board 
>> eu coloquei meu hub e nele estão ligados meus ATAs LinkSys e meu FXO 
>> Externo da dlink.
>>  
>> Porem minhas ligações quando saem por este FXO (que ficam minhas 
>> interfaces celulares), estao com qualidade ruim na ligação e tendo 
>> quedas tb.
>>  
>> e as dos ATAS tb apresentam problemas.
>>  
>> Para instalar essa segunda placa de rede.. eu fiz todo o procedimento 
>> normal de linux para compartilhar internet no CENTOS usando o 
>> IPTABLES encontrado pelo google.
>>  
>> Eu teria que configurar o NAT no elastix tb?? mesmo a placa de rede 
>> estar na mesma máquina??
>> Alguem poderia postar algum exemplo de cenário para utilizar o 
>> asterisk com o Link direto.. e os ramais internos em outra placa de 
>> distribuindo a internet tb para meus computadores internos??
>>  
>> Desde já agradeço .. qualquer ajuda..
>>  
>> Abraços..
>> Deivyn
>> ------------------------------------------------------------------------
>>
>>
>> _______________________________________________
>> http://www.voipmania.com.br
>> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
>> Promoção por tempo limitado!
>> Acesse agora http://promo.voipmania.com.br
>>
>> _______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
> Rodrigo S. Vian
> Analista TI
> Porttal Tecnologia
> Solu��es em TI & Telecom
> http://www.porttaltecnologia.com.br
> phone:55+19+3542-9667
>
> |-- Antes de Imprimir, pense em sua responsabilidade com o Meio 
> Ambiente --|
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> http://www.voipmania.com.br
> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
> Promoção por tempo limitado!
> Acesse agora http://promo.voipmania.com.br
>
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ------------------------------------------------------------------------
>
> _______________________________________________
> http://www.voipmania.com.br
> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
> Promoção por tempo limitado!
> Acesse agora http://promo.voipmania.com.br
>
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil



Rodrigo S. Vian
Analista TI
Porttal Tecnologia
Soluções em TI & Telecom
http://www.porttaltecnologia.com.br
phone:55+19+3542-9667

|-- Antes de Imprimir, pense em sua responsabilidade com o Meio Ambiente --|
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20091028/d344074f/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil