Уважаемые специалисты подскажите возможно ли побороть такое ?

Сервер астериск висит на реальном айпи с одним Eth0

есть скрипт IPtables который замечательно работает но )) только с реальными айпи , то есть если пакет пришел с айпи который разрешен в списке то фаерволл его пропустит ...


проблема возникла с фильтрацией пакетов пришедших от пользователей за натом ...
то есть например сидит абонент с сипфоном на 192.168.1.2 и выходит натом через 8.8.8.8 фаерволл видит пакет от 192.168.1.2 и даже если открыт 8.8.8.8 не пускает его ....
Прописываю доступ с 192.168.1.0/24 и все начинает работать
Открыть доступ пакетам с фейк подсетей наверно не совсем хорошо ... )))
Абонеттов за натом предвидится достаточно ...


Заранее спасибо

а вот и сам скрипт который берет айпи с текстового файла в указанной дериктории )))

#!/bin/sh

# iptables script generated 2010-04-09
# http://www.mista.nu/iptables

iptables="/sbin/iptables"

# Flush old rules, old custom tables
iptables --flush
iptables --delete-chain

# Enable free use of loopback interfaces
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

for IP in `cat /root/ip.txt`
do

iptables -A INPUT -p tcp ! --syn -m state --state NEW -s $IP -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -s $IP -j ACCEPT ; http for friends
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s $IP -j ACCEPT ; ssh for friends
iptables -A INPUT -p tcp --dport 5000:65000 -m state --state NEW -s $IP -j ACCEPT ; full access for friends
iptables -A INPUT -p udp --dport 5000:65000 -m state --state NEW -s $IP -j ACCEPT ; full access for friends

done

# По умолчанию ...
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

а еще удивительнее:
1) как nat выпускает, пакет с src 192.168.1.2 не подменяя на свой?
2) откуда сервер знает где сеть 192.168.1.0 находится?

iptables -A INPUT -p tcp --dport 5000:65000 -m state --state NEW -s $IP -j ACCEPT ; full access for friends
iptables -A INPUT -p udp --dport 5000:65000 -m state --state NEW -s $IP -j ACCEPT ; full access for friends


а фаервол сам по себе вообще, нужен?

можем еще рассказать как у пользователя пароль поменять.

Эти диапазоны портов открыты только для IP войп шлюзов и провайдеров , для хождения SIP & RTP трафика
для остального мира закрыто все ...


Я только начал разбираться с фаерволлом, подскажите плииз как заставить фаерволл корректно обрабатывать нат пакеты ...

похоже не подменяет, по крайне мере iptables при фильтрации видит 192.168.1.2 вместо реального ))

откуда сервер знает где сеть 192.168.1.0 находится?

я подозреваю что в пакете есть реальный айпи только как iptables сказать чтоб он смотрел не на 192.168.1.2 а на 8.8.8.8 в пакете который фильтрует ...

причем тут IPTABLES? по крайней мере на этой машине.
Учите матчасть.
предлагаю изучить tcpdump чтобы посмотреть что куда ходит.

tcpdump -nnvs 0 -i eth0 port 5060
tcpdump -nn -i eth0

Ого супер ))) прям как на циске Спасибо за столь полезную программу ))))

за программу НЕ мне спасибо

Полное цитирование - оверква-ква...
newman1234, там ещё много программ.
nmap например

tcpdump port 5060 -X -vvv