[AsteriskBrasil] RES: elastix atras de nat

Luis Claudio luisclaudio em pvh.i-mais.net
Quarta Fevereiro 24 08:58:11 BRT 2010 

Tenta o seguinte

#Redirecionando tudo que chegar no ip publico para a maquina local

-A PREROUTING -d XXXXXXXXX -p tcp -m tcp --dport 5060:5082 -j 
DNAT --to-destination 192.168.1.37
-A PREROUTING -d XXXXXXXXX  -p udp -m udp --dport 5060:5082 -j 
DNAT --to-destination 192.168.1.37
-A PREROUTING -d XXXXXXXXX  -p tcp -m tcp --dport 8000:20000 -j 
DNAT --to-destination 192.168.1.37
-A PREROUTING -d XXXXXXXXX  -p udp -m udp --dport 8000:20000 -j 
DNAT --to-destination 192.168.1.37

#Liberando FORWARD para todos nas portas

-A FORWARD -p tcp --dport 5060:5082 -j ACCEPT
-A FORWARD -p udp --dport 5060:5082 -j ACCEPT
-A FORWARD -p tcp --dport 8000:20000 -j ACCEPT
-A FORWARD -p udp --dport 8000:20000 -j ACCEPT

#LIBERANDO NAT destas portas para todos

-t nat -A POSTROUTING -p tcp -o $ext_if -s $lan --dport 4569:4570 -j 
MASQUERADE
-t nat -A POSTROUTING -p udp -o $ext_if -s $lan --dport 4569:4570 -j 
MASQUERADE

Luis Claudio

-----Mensagem original-----
De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
Vinícius Fontes
Enviada em: terça-feira, 23 de fevereiro de 2010 10:02
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] elastix atras de nat

Desculpe se a pergunta é óbvia, mas você já definiu os parâmetros externip e
localnet no sip.conf?


Atenciosamente,

Vinícius Fontes
Gerente de Segurança da Informação
Canall Tecnologia em Comunicações
Passo Fundo - RS - Brasil
+55 54 2104-7000

Information Security Manager
Canall Tecnologia em Comunicações
Passo Fundo - RS - Brazil
+55 54 2104-7000

----- "Otavio Asterisk" <otavioasterisk em gmail.com> escreveu:

> Amigo, bom dia.
> Fiz as alterações conforme me instrui, mas continua na mesma: sem
> audio nos ramais externos ou internos e sem acesso web.....
> Mais alguma dica?
> 
> Abraços
> 
> 
> Em 23 de fevereiro de 2010 10:19, Rodrigo Vian <
> listas em porttaltecnologia.com.br > escreveu:
> 
> 
> 
> Nas regras de INPUT,
> 
> acrescente:
> 
> -A INPUT -p udp -m udp --dport 10000:20000 -m state --state NEW -j
> ACCEPT
> 
> 
> E eu recomendo trocar esta linha...
> 
> -A FORWARD -i eth0 -j DROP
> 
> por estas
> -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j
> DROP
> -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
> -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
> -A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
> -A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
> -A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
> -A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A OUTPUT -m state --state INVALID -j DROP
> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
> 
> O Forward não pode ser bloqueado.. deve liberar o já estiver
> relacionado ou estabelecido....
> Também não vi regra de saída, então acrescentei...
> 
> Refaça os testes....
> 
> Abs
> 
> Otavio Asterisk escreveu:
> 
> 
> 
> 
> Lista, bom dia.
> EStou com uma dúvida que está me matando.
> Eu e um colega instalamos um Elastix numa máquina para fazermos
> testes.
> Esse elastix tá rodando em um Speed, no roteador, havia feito
> direcionamento de portas (5060, 443, 10000-20000, enfim, as portas q
> devem ser roteadas) e não tava rolando... fiz então um DMZ do router
> pro Server... externamente: consigo autenticar o softphone ou ata,
> consigo conectar via ssh, mas via web não rola...e nem eu, q estou
> fora, nem meu amigo q está dentro da rede, conseguimos nos ouvir...
> toca normal, mas não ouvimos nada...
> Detalhe q ele testou configurando dois softphones na rede interna, e
> funcionou de boa...assim como também consegue acessar via web o painel
> de configuração do elastix...
> Os primeiros testes foram feitos com o firewall desativado... como não
> funcionou, resolvi ativar o firewall e criei algumas regras liberando
> acesso...
> fiz o seguinte: editei o arquivo /etc/sysconfig/iptables e criei as
> seguintes regras:
> 
> -A INPUT -p tcp --dport 22 -j LOG
> -A INPUT -p tcp --dport 22 -j ACCEPT
> -A INPUT -p tcp --dport 443 -j LOG
> -A INPUT -p tcp --dport 443 -j ACCEPT
> -A INPUT -p udp --dport 443 -j LOG
> -A INPUT -p udp --dport 443 -j ACCEPT
> -A INPUT -p tcp --dport 80 -j LOG
> -A INPUT -p tcp --dport 80 -j ACCEPT
> -A INPUT -p udp --dport 80 -j LOG
> -A INPUT -p udp --dport 80 -j ACCEPT
> -A INPUT -p tcp --dport 5060 -j LOG
> -A INPUT -p tcp --dport 5060 -j ACCEPT
> -A INPUT -p udp --dport 5060 -j LOG
> -A INPUT -p udp --dport 5060 -j ACCEPT
> -A INPUT -p icmp --icmp-type any -j REJECT
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -i eth0 -j DROP
> 
> Algumas regras como da porta 80 udp e tcp, porta 443 udp, eu fiz
> apelando pois liberando apenas as portas tcp da 443 não rolou, então
> resolvi apelar...
> Como habilitei esse log, qnd digito dmesg vizualizo o log q conexão na
> porta 22 (ssh), por exemplo, mas nem mostra nada das portas 443 ou 80
> q seja....
> Será q alguém pode me dar uma luz?
> Valeu!!
> 
> 
> --
> Otávio
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> 
> 
> 
> --
> Otávio
> 
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito 
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil

Mais detalhes sobre a lista de discussão AsteriskBrasil