Desbloquear VOIP

fndiaz
(usa CentOS)

Enviado em 05/02/2010 - 11:28h

Galera eh o seguinte...tenho o squid configurado como proxy na rede!!!

Para acessar a rede os usuarios tem q passar pelo proxy, mas eu usu linhas Voip...em alguns ATAS PAP2T da Linksys

e preciso que eles acessem a internet sem passar pelo proxy, por um ip fixo!!!

alguem sabe como fazer??

renato_pacheco
(usa Debian)

Enviado em 05/02/2010 - 11:40h

Faça uma acl dentro do seu squid para o IP desejado:

acl voip src 10.10.10.10

E depois coloque essa regra abaixo na primeira linha das regras do http_access:

http_access allow voip

Dessa forma o squid libera tudo pra ele.

fndiaz
(usa CentOS)

Enviado em 05/02/2010 - 11:49h

Amigo assim nao daria certo, pois não tem como eu fazer o ATA passar pelo squid...ele não tem essa configuração pelo menos eu nao achei!!!

Eu preciso fazer o ip dele passar fora do squid!!
Mas pra isso quero que apenas o Ip dele passe por fora

renato_pacheco
(usa Debian)

Enviado em 05/02/2010 - 12:01h

Tudo bem... dessa forma vc teria q fazer com iptables, fazendo um FORWARD pra todas as requisições do seu IP. Ex.:

# iptables -A FORWARD -s 10.10.10.10 -j ACCEPT

Dessa forma, vc liberaria os encaminhamentos dos pacotes para fora. Isso só funciona se a política do FORWARD estiver como DROP (iptables -P FORWARD -j DROP).

fndiaz
(usa CentOS)

Enviado em 05/02/2010 - 12:41h

Quando eu uso o comando iptables -P FORWARD -j DROP

retorna um erro que "-P requeires chain and police"

renato_pacheco
(usa Debian)

Enviado em 05/02/2010 - 12:45h

Desculpe... retire o "-j" q funciona.

fndiaz
(usa CentOS)

Enviado em 05/02/2010 - 13:40h

Cara Obrigado pela ajuda...Olhe o exemplo a seguir:

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

neste exemplo como eu faço para negar acesso a todos da rede local (Obrigando a passar pelo squid), e deixar somente um ip fixo para utilizar o VOIP

Vlw

renato_pacheco
(usa Debian)

Enviado em 05/02/2010 - 14:12h

Pra obrigar o pessoal a passar pelo squid é negando o acesso d FORWARD e INPUT da porta 80 e redirecionar todo tráfego oriundo da interface da rede interna com destino pra porta 80 pra porta 3128. Ex.:

iptables -P FORWARD DROP <-- política q rejeita todo FORWARD
iptables -P INPUT DROP <-- política q rejeita todo INPUT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

fndiaz
(usa CentOS)

Enviado em 05/02/2010 - 16:20h

ainda nao consegui!!

renato_pacheco
(usa Debian)

Enviado em 06/02/2010 - 08:25h

Acho q vc não entendeu...

A última regra q t passei é pra obrigar o pessoal a usar o squid, mas não pus as regras q permitem q o seu VOIP passe "por fora" do squid. Vc deve saber o IP das suas máquinas com VOIP, ok? Além das regras acima, vc deve acrescentar uma regra FORWARD:

# iptables -A FORWARD -s 10.10.10.10 -j ACCEPT

É claro q o IP acima é fictício. Ponha o real.

fndiaz
(usa CentOS)

Enviado em 08/02/2010 - 12:05h

Cara...não sei onde estou errando!!!!

Fiz o seguinte:
# Compartilhei conexao
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE

# Liberei o IP do VOIP
iptables -A FORWARD -s 192.168.8.31 -j ACCEPT

# Redirecionei a porta para blouqear os demais ips
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128

#Demais regras
iptables -A INPUT -s 192.168.8.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

fndiaz
(usa CentOS)

Enviado em 08/02/2010 - 12:10h

Depois desta configuração qndo tento acessar a internet da uma mensagem do proxy!!!

Ateh aih tdo certo...pois soh consigo usar a internet a partir do proxy!!!

Mais o ip 192.168.8.31 que liberei para o voip, nao passa por fora do proxy ainda...da a msma mensagem dos outros ips