Re: OT: pf.conf für VoIP

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Thu, 16 Mar 2006 10:09:17 +1100 (EST)

On Wed, 15 Mar 2006, André Braselmann wrote:

> ng0 <-> pf <-> rl0 <-> Netzwerk 192.168.1.x
> |
> |<-> Asterisk 192.168.1.y
>
>
> http://www.voip-info.org/tiki-index.php?page=Asterisk+firewall+rules
>
> gibt nur die basisrules her, ohne nat.
>
> Folgende Ports müssen 1:1 ge'nattet' werden:
>
> # SIP (TCP)
> voip_tcp = "5060"
> # SIP, IAX2, RTP, (UDP)
> voip_udp = "{5060, 4569, 9999 >< 20001}"
>
> Selbstverständlich müssen da auch noch die rules zu.
>
> Hat jemand einen Regelsatz, bzw. wie muss der Regelsatz für so etwas
> aussehen?

Vielleicht so (nicht getestet..)?

rdr on ng0 proto tcp from any to ng0 port 5060 -> 192.168.1.y port 5060
rdr on ng0 proto udp from any to ng0 port {5060,4569,9999><20001} -> 192.168.1.y port {5060,4569,9999><20001}

> Oder ist es einfacher gleich den siproxd auf dem Router laufen zu
> lassen?

Ich habe mit NAT und asterix bis her keine Erfahrungen, aber es ist ja
wohl ein "FTP artiges" Protokoll mit temporaer geoeffneten Datenkanaelen.

Wahrscheinlich klappt das o.g. redirect nicht (aus der siproxd-Doku):

SIP (Session Initiation Protocol, RFC3261) is used by Softphones and
Hardphones (Voice over IP) to initiate communication. By itself, SIP does
not work via masquerading firewalls as the transfered data contains IP
addresses and port numbers.

Also ist wahrscheinlich siproxd das Beste.

Gibt es da mit pf keinen "Helper" wie ftp-proxy(8)?

http://www.freebsd.org/cgi/cvsweb.cgi/src/contrib/pf/ftp-proxy/ftp-proxy.c?rev=1.6&content-type=text/x-cvsweb-markup

sieht gar nicht so schwer aus;-) Wenn Du weisst, wie VoIP Control einen
neuen Datenstrom aushandelt, bastel doch fix mal asterix-proxy(8) ;-)

Ich merke gerade, dass VoIP nicht VoIP ist. Die Samsung-Anlage hier, die
mit einer in London spricht, nutzt andere UDP-Ports und braucht keinen
Proxy..

Es gruesst
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 16 Mar 2006 - 00:11:01 CET

search this site