Nat - Iptables

ribeiro2011
(usa Outra)

Enviado em 05/04/2011 - 16:46h

Estou com dificuldades para conexão de ramal externo IP em um servidor interno IP, através de um firewall. Já configurei algumas regras iptables, liberei as portas, mas o ramal faz autenticação. O panorama é o seguinte: ramal externo <----> adsl <-----> nuvem <------> adsl (1 IP fixo) <----> firewall linux <-----> servidor IP (10.0.0.9). Agradeceria muito a ajuda para resolver este caso. Quais as regras para NAT e libreção das portas firewall. Obrigado

renato_pacheco
(usa Debian)

Enviado em 05/04/2011 - 17:45h

Primeira coisa a fazer é saber qual é(são) a(s) porta(s) q esse lance do seu ramal utiliza (inclusive o protocolo). Depois fazemos as regras...

korvoman
(usa Debian)

Enviado em 05/04/2011 - 20:58h

Pesquise por soluções "asterisk behind nat". Normalmente servidores asterisk atrás de nat é uma novela.
Não sou da área de voz sobre ip. No entanto já tive surpresa ao notar esta situação em produção utilizando dmz.

avena
(usa Debian)

Enviado em 05/04/2011 - 21:29h

se for voip mesmo que esta falando.

no firewall linux ai que deve ter ipvalido e tal..

faz o Port-forward/redirect das portas abaixo para o IP local do seu servidor:

5060:5061 UDP
10000 - 20000 UDP (todo o range)

pra o 10.0.0.9 - assim porta voip pra danado.

e no sip.conf.

nat=yes
externip=SEU_IP_INTERNET
localnet=SUA_REDE_LOCAL/MASCARA - 10.0.0.0/255.255.255.0 - se for isso.


agora se somente compartilhar internet ai

http://avena.blip.tv/file/4904449/ - video sobre isso.

texto sobre nat simples
http://www.hardware.com.br/comunidade/v-t/1133084/#post5356588

espero que dica no vol sai logo.

ribeiro2011
(usa Outra)

Enviado em 06/04/2011 - 10:03h

Caros Renato/Korvoman/Avena, obrigado pelas respostas

Na realidade tenho um PABX IP, com um gateway IP interno, que utiliza protocolo SIP e codecs G711 e G729.
A interface do gateway IP está conectada na mesma rede LAN da interface ETH1 do firewall. A interface ETH0 do firewall recebe a conexão ADSL (IP 200.175.4.90)

As regras iptables que imprementei são:

-A PREROUTING -d 200.175.4.90 -p udp -m multiport --dports 5060,6100:6199,10000:65000 -j DNAT --to-destination 10.0.0.9
-A PREROUTING -d 200.175.4.90 -p tcp -m multiport --dports 5060,6100:6199,10000:65000 -j DNAT --to-destination 10.0.0.9

-A POSTROUTING -s 10.0.0.9 -j MASQUERADE
-A POSTROUTING -p udp -m multiport --dports 5060 -j MASQUERADE
-A POSTROUTING -p udp -m multiport --dports 10000:65000 -j MASQUERADE

-A INPUT -p udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m multiport --dports 10000:65000 -j ACCEPT

-A FORWARD -s 10.0.0.9 -j ACCEPT
-A FORWARD -d 10.0.0.9 -j ACCEPT
-A FORWARD -p udp -m multiport --dports 5060,6100:6199,10000:65000 -j ACCEPT

Caso precise de mais alguma informação, pode enviar sem problemas. E obrigado pela atenção de vocês.

Ribeiro