Asterisk и iptables
помогите разобраться
|
Откуда: Almaty, Kazakhstan
Сообщений: 64
|
Re: Asterisk и iptables
kasper: Эти 2 строчки верны
iptables -A OUTPUT -p TCP --source-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP --destination-port 22 -m state --state NEW,ESTABLISHED -j ACCEPT
Нет тоже не совсем верны, у вас подключения идут к ssh значит ssh отвечает на запросы а не создаёт новое подключение NEW следует убрать
iptables -A OUTPUT -p TCP --source-port 22 -m state --state ESTABLISHED -j ACCEPT
Теперь многое прояснилось, но все же у меня не получается залогиниться в Asterisk GUI через http://xxx.xxx.xxx.xxx/admin хотя главная страница открывается, я думаю что какой то сервис нужен, возможно ли такое что какой то сервис для авторизации использует какой то определенный порт? если да то как это узнать? какой именно коммандой можно узнать какие сервисы LISTEN именно для авторизации?
|
|
Сообщений: 6521
|
Re: Asterisk и iptables
Сделайте service iptables stop
и попытайтесь открыть http://xxx.xxx.xxx.xxx/admin
|
|
Сообщений: 76
|
Re: Asterisk и iptables
karimshc:
а когда все разрешаю... все порты все делаю в общем ACCEPT то все работает...
Ну если это так то при отключенном файрволле всё должно работать.
karimshc:
возможно ли такое что какой то сервис для авторизации использует какой то определенный порт?
незнаю не проверял =)
Можете сами проверить снифером
tcpdump -i any > /tmp/snif.log
Все пакеты запишутся в файлик /tmp/snif.log
если tcpdump не установлен установить можно так yum install tcpdump
В Deban подобных линуксах устанавливается так aptitude install tcpdump
|
|
Откуда: Краснодар
Сообщений: 189
|
Re: Asterisk и iptables
Объясните, зачем такие параноидальные правила? Вы от кого защищаетесь?
При построений правил iptables следует четко понимать порядок прохождения пакетами цепочек, и нафига каждая цепочка нужна.
Советую осилить хотябы 1\3 мана http://www.opennet.ru/docs/RUS/iptables/
Так же от себя советую, читайте правила "вслух"
karimshc, для авторизации нужен порт 5060 (tcp, udp)
Так же если вы будете делать reinvite=yes, потребуется учесть это в фаере, или через кого там будут ходить ваши клиенты (опционально)
Это все к тому, что можно потом самому запутаться в таких правилах.
kasper, хреново вы учите пользовать tcpdump!
Писать в файл не обязательно, потом затрахается файлы читать-открывать.
tcpdump -i ethX -n not port 22 and udp
tcpdump -i ethX -n host $peeradress
upd: советую отменить политику по умолчанию DROP, сменить на ACCEPT, попробовать пользоваться -j LOG
All desires should be executed
|
|
Сообщений: 76
|
Re: Asterisk и iptables
kasper, хреново вы учите пользовать tcpdump!
Я написал то что можно было по исходным данным ip адреса у меня 100% нету, к какому порту будет подключение тоже не известно (неизвестно даже что но будет), я понятия не имею что у него там ещё на сервере крутится что бы исключить может почта может впны всякие да и в вашем случае объясняйте ему теперь какой ему eth прописать eth0 eth1 eth2.
В моём случае то что нужно по любому в лог попадёт а дальше выборку по тексту или перенести под винду и там обработать или в крайнем случае на глаз(в зависимости от способностей) и кстати в вашем случае на экран тоже вывалится куча всего минимум это запросы на 80 порт и вообще имхо без сохранения в файл удобно только для поверхностного просмотра когда мало данных. Имея файл мы можем поработать с grep,sed,сделать поиск, сравнить.
З.Ы. Для себя конечно я бы задал более точную выборку т.к. я бы знал по каким критериям фильтровать и вообще не надо придираться =)
Правила имхо не параноидальные просто неправильные
Советую осилить хотябы 1\3 мана http://www.opennet.ru/docs/RUS/iptables/
А вот тут +1 человек явно плохо понимает что делает а мануал очень хороший и доходчивый
|
|
Откуда: Almaty, Kazakhstan
Сообщений: 64
|
Re: Asterisk и iptables
wins: Объясните, зачем такие параноидальные правила? Вы от кого защищаетесь?
как от кого? от внешнего мира, т.к. вторая плата смотрит наружу. хотелось бы закрыть все входящие снаружи на плату eth1 и разрешить все к плате eth0
плюс к этому всему разрешить снаружи смотреть на eth1 по протоколам: 22, 5060 и диапазону RTP.
если есть возможность помочь... то это было бы хорошо, т.к. я понял что вы знаток.
вот мои мысли
1. Закрыть все INPUT
2. Открыть полный доступ при обращении к eth0
3. Открыть порты 22, 5060 и RTP на eth1
я так полагаю на самом деле это небольшое правило должно получиться.... но если не затруднит... помогите.
wins: Советую осилить хотябы 1\3 мана http://www.opennet.ru/docs/RUS/iptables/
уже читаю.
wins: karimshc, для авторизации нужен порт 5060 (tcp, udp)
да я это понял, но все же для тех кто находиться за НАТ получают произвольный в диапазоне RTP
wins: upd: советую отменить политику по умолчанию DROP, сменить на ACCEPT, попробовать пользоваться -j LOG
хороший совет, уже настроил и начал это делать...
ded: Сделайте service iptables stop
и попытайтесь открыть http://xxx.xxx.xxx.xxx/admin
проходит. если INPUT ACCEPT и OUTPUT ACCEPT
если INPUT DROP и ACCEPT DPORT 80 нифига.... главная страница открывается.... |
|
Сообщений: 866
|
Re: Asterisk и iptables
ипическая сила. у него еще и нат. О чем в первом посет, разумеется, ни слова не сказано.
нееее. Сначала - ЧИТАТЬ. и только потом - ПИЧАТЬ.
|
|
Откуда: Almaty, Kazakhstan
Сообщений: 64
|
Re: Asterisk и iptables
dimas: ипическая сила. у него еще и нат. О чем в первом посет, разумеется, ни слова не сказано.
нееее. Сначала - ЧИТАТЬ. и только потом - ПИЧАТЬ.
Читаю,)))
И кстати народ все разрещилось.... сделал следующее
1. Запустил ЛОГ
2. Проанализировал все grep SYN и нашел что 127.0.0.1 неможет посмотреть на себя 127.0.0.1
3. В правилах добавил следующее
iptables -A INPUT -p TCP -d $lo -j ACCEPT
iptables -A OUTPUT -p TCP -s $lo -j ACCEPT
iptables -A INPUT -p UDP -d $lo -j ACCEPT
iptables -A OUTPUT -p UDP -s $lo -j ACCEPT
4. Все заработало.
5. Добавил админский доступ к HTTP
iptables -A INPUT -p tcp -i eth0 -s $ADMIN --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 -d $ADMIN --sport 80 -j ACCEPT
6. Теперь к HTTP имею доступ только я ЧЕГО И ТРЕБОВАЛОСЬ ДОБИТЬСЯ
Теперь еще один вопрос к знатокам... давайте только не будем (НАДО ЧИТАТЬ И Т Д) давайте просто искренне друг другу помогать если есть в этом желание и возможность(умным человека делает не его супер мега знания а его искренность) и все же большое спасибо!!! люди отвечавшие сдесь мне очень сильно помогли незнаю чтобы я без вас делал!.
1. Хочу установить HTTP контроль и управление трафиком с $ADMIN ip адреса а так же контроль логов.
а) возможно ли это и насколько это оправданно?
б) какой список компонентов нужен для этого?
в) с чего лучше начать?
|
|
Откуда: Краснодар
Сообщений: 189
|
Re: Asterisk и iptables
чет ты на радостях вопрос криво сформулировал.
Контроль логов - каких логов?
Управление трафиком - считать, включать\выключать, или чего? Каким трафиком? Голосовым или в принципе ипшным?
All desires should be executed
|
|
Откуда: Almaty, Kazakhstan
Сообщений: 64
|
Re: Asterisk и iptables
wins: чет ты на радостях вопрос криво сформулировал.
Контроль логов - каких логов?
Управление трафиком - считать, включать\выключать, или чего? Каким трафиком? Голосовым или в принципе ипшным?
Ссоррри.... возможно.
Хотелось бы организовать такое...
захожу например по адресу http://asteriskip/analyse
и попадаю на web страницу где в кратце описывается какой пакет заблокировался какой прошел.
|
|
