ограничить диапазон портов для ИСХОДЯOЩИХ соединений [закрыт]

Question

скажите как ограничить sport астериска ? поты указанные в rtpstart rtpend udptlstart udptlend ограничивают почему то только порты по которым от принимает потоки сам же делает соединения с различных портов

[root@localhost ~]# ls /etc/asterisk/rtp*
/etc/asterisk/rtp_additional.conf  /etc/asterisk/rtp.conf
[root@localhost ~]# cat /etc/asterisk/rtp.conf 
;--------------------------------------------------------------------------------;
; Do NOT edit this file as it is auto-generated by FreePBX. All modifications to ;
; this file must be done via the web gui. There are alternative files to make    ;
; custom modifications, details at: http://freepbx.org/configuration_files       ;
;--------------------------------------------------------------------------------;
;

[general]
;rtp settings are defined in the chan_motif freepbx module


;icesupport=yes
[root@localhost ~]# 

[root@localhost ~]# cat /etc/asterisk/rtp_additional.conf 
;--------------------------------------------------------------------------------;
; Do NOT edit this file as it is auto-generated by FreePBX. All modifications to ;
; this file must be done via the web gui. There are alternative files to make    ;
; custom modifications, details at: http://freepbx.org/configuration_files       ;
;--------------------------------------------------------------------------------;
;

[general]
rtpend=20000
rtpstart=10000

[root@localhost ~]# tcpdump -n net 212.53.40/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:37:48.955680 IP 192.168.10.106.sip > 212.53.40.40.sip: SIP, length: 880
15:37:48.970537 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 303
15:37:48.970900 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 448
15:37:48.971053 IP 192.168.10.106.sip > 212.53.40.40.sip: SIP, length: 401
15:37:48.971185 IP 192.168.10.106.sip > 212.53.40.40.sip: SIP, length: 1130
15:37:48.992148 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 303
15:37:51.720161 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 831
15:37:58.019174 IP 192.168.10.106.sip > 212.53.40.40.sip: SIP, length: 535
15:37:58.033887 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 480
15:38:03.142545 IP 192.168.10.106.sip > 212.53.40.40.sip: SIP, length: 634
15:38:03.160480 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 566
15:38:09.742688 IP 212.53.40.40.sip > 192.168.10.106.sip: SIP, length: 869
15:38:09.743123 IP 192.168.10.106.sip > 212.53.40.40.sip: SIP, length: 548
15:38:09.744671 IP 192.168.10.106.**28136** > 212.53.40.72.17170: UDP, length 32
15:38:09.764161 IP 192.168.10.106.**28136** > 212.53.40.72.17170: UDP, length 32
15:38:09.776955 IP 212.53.40.72.17170 > 192.168.10.106.28136: UDP, length 32
15:38:09.784157 IP 192.168.10.106.28136 > 212.53.40.72.17170: UDP, length 32
15:38:09.797206 IP 212.53.40.72.17170 > 192.168.10.106.28136: UDP, length 32
15:38:09.804157 IP 192.168.10.106.28136 > 212.53.40.72.17170: UDP, length 32
15:38:09.816758 IP 212.53.40.72.17170 > 192.168.10.106.28136: UDP, length 32
15:38:09.824163 IP 192.168.10.106.28136 > 212.53.40.72.17170: UDP, length 32
15:38:09.836817 IP 212.53.40.72.17170 > 192.168.10.106.28136: UDP, length 32


Reliably Transmitting (NAT) to 80.75.132.66:5060:
INVITE sip:6005060@80.75.132.66 SIP/2.0
Via: SIP/2.0/UDP 94.XX.XX.XX:5060;branch=z9hG4bK3ff13042;rport
Max-Forwards: 70
From: <sip:78124580735@94.XX.XX.XX>;tag=as52936d2c
To: <sip:6005060@80.75.132.66>
Contact: <sip:78124580735@94.XX.XX.XX:5060>
Call-ID: 29f0501f6b1d73b342fa1a511b365f85@94.XX.XX.XX:5060
CSeq: 102 INVITE
User-Agent: FPBX-2.11.0beta3(11.2.1)
Date: Mon, 11 Mar 2013 08:53:19 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Type: application/sdp
Content-Length: 305

v=0
o=root 2122324920 2122324920 IN IP4 94.XX.XX.XX
s=Asterisk PBX 11.2.1
c=IN IP4 94.XX.XX.XX
t=0 0
m=audio 26410 RTP/AVP 18 3 0 101
a=rtpmap:18 G729/8000
a=fmtp:18 annexb=no
a=rtpmap:3 GSM/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=sendrecv

---

Answer 1

2

если астериск БЕЗ ната,он так и делает. а если есть нат то ВНЕШНИЙ порт зависит от роутера. и тут только роутер поменять.

вот смотриет специально для вас поставил у себя на dev.pro-sip.net порты с 40000 по 40010

<--- Reliably Transmitting (NAT) to 91.200.1.98:5060 --->
SIP/2.0 200 OK
Via: SIP/2.0/UDP 91.200.1.98:5060;branch=z9hG4bK-d8754z-166681519ce1ef60-1---d8754z-;received=91.200.1.98;rport=5060
From: <sip:2010@78.47.159.184;transport=UDP>;tag=6901f074
To: <sip:1111@78.47.159.184;transport=UDP>;tag=as3f9626f7
Call-ID: YmQ0OWQzZDE4OTg1NzdkMzMxY2RkZTYwMTRlNWI4Zjk.
CSeq: 2 INVITE
Server: Asterisk PBX 10.12.1
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Contact: <sip:1111@78.47.159.184:5060>
Content-Type: application/sdp
Content-Length: 260

v=0
o=root 664312002 664312002 IN IP4 78.47.159.184
s=Asterisk PBX 10.12.1
c=IN IP4 78.47.159.184
t=0 0
m=audio 40002 RTP/AVP 0 8 101
a=rtpmap:0 PCMU/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=sendrecv

выбрано 40002 как видно из трейса.

итить вашу в помидоры.

а то что у вас /etc/asterisk/rtp.conf НЕ ВКЛЮЧЕН ФАЙЛ _additional.conf это тоже астериск виноват?

ссылка удалить спам редактировать

ответил 2013-03-10 03:55:23 +0400

meral

23347 ● 24 ● 20 ● 177
http://pro-sip.net/

обновил 2013-03-11 12:34:46 +0400

Comments

asterisk c натом но порты сняты tshark ом - на астериске, и на обоих интерфейсах роурера - к сожалению он так НЕ делает.уже исходящий порт находится ЗА диапазонами указанным параметров . дело в том, что на роутере тоже сделаны специальные правила с каких исходящих портов как натить - но к роутеру уже приходят другие диапазоны :(

astin1317 ( 2013-03-10 11:22:06 +0400 )редактировать

астериск не инициализирует потоки rtp с портов вне диапазона разрешенных.

zzuz ( 2013-03-10 13:17:25 +0400 )редактировать

я тоже так раньше думал, именно rtp и инициализирует udpl и sip в рамках a rtp как ему вздумается

astin1317 ( 2013-03-10 13:58:17 +0400 )редактировать

Не верю.

zzuz ( 2013-03-10 14:02:54 +0400 )редактировать

SDP заголовки в студию.

zzuz ( 2013-03-10 14:03:55 +0400 )редактировать

см в вопросе

astin1317 ( 2013-03-10 15:43:53 +0400 )редактировать

в вопросе как раз все как вам говрили експерты. явно видно что астериск 212.53.40.72 выдает из диапазона. вы можете для теста его даже сузить до 10 портов и проверить.

meral ( 2013-03-10 23:20:49 +0400 )редактировать

дело в том, что существут сотни если не тысячи больши систем в которых фаерволы настроены точно. и НЕ пропускают в неправильном диапазоне. и астериск там РАБОТАЕТ почемуто.

meral ( 2013-03-10 23:22:05 +0400 )редактировать

если че, sdp заголовки смотреть из консоли астериска sip set debug on

meral ( 2013-03-10 23:36:50 +0400 )редактировать

А если посмотреть на интерфейсе самой asterisk?

bolshoy_plohish ( 2013-03-11 09:19:30 +0400 )редактировать

directmedia выключен?

Zavr2008 ( 2013-03-11 10:28:56 +0400 )редактировать

в вопросе как раз все как вам говрили експерты. явно видно что астериск 212.53.40.72 выдает из диапазона. вы можете для теста его даже сузить до 10 портов и проверить

ну если asterisk ЗА натом ...то который из них обсуждаемый сервер ??? 212 - это сипнет куда идет звонок - первый ip 212 - sip(5060) второй ip 212 sipnet выдал для rtp совпадает у него или нет не знаю - но исходящий НЕ в указанном диапазоне. зачем мне смотреть sip set debug заголовки если пакеты идут с другого порта ? tcpdump всяко не подделал порты- и всяко не взял их с внешнего ip роутера. tcpdump даже правильнее - он в отличие от астериска даже не знает ни про роутер ни про внешний ip. что в sdp заголовках sip net дал указание делать исходящим портом порт вне диапазона настроек ? зачем тогда вообще в астериске настройки портов ? или кроме тех настроек которые я привел есть другие про который я не знаю ?

astin1317 ( 2013-03-11 11:35:44 +0400 )редактировать

А если посмотреть на интерфейсе самой asterisk? 192.168.10.106 это он и есть

directmedia выключен? canreinvite ? пробовал и так и так

astin1317 ( 2013-03-11 11:49:40 +0400 )редактировать

дело в том, что существут сотни если не тысячи больши систем в которых фаерволы настроены точно. и НЕ пропускают в неправильном диапазоне. и астериск там РАБОТАЕТ почемуто.

что с того ? вам привели ситуацию когда не работает - с точной натройки роутера по портам и началось... когда она соответствует настойке rtpstart rtpend стали возникать геморои с пропаданием звука - стали копать - что вылезло - я тут привел

когда у вас возникает проблема вы ищете причину ? или также произносите магические слова про сотни систем работающих ?

astin1317 ( 2013-03-11 11:57:58 +0400 )редактировать

Вопрос только в понимаю сетевых взаимодействий при настройке NAT. Избитая тема , о чем Вам и говорит Меркулов.

zzuz ( 2013-03-11 12:04:23 +0400 )редактировать

ограничить диапазон портов для ИСХОДЯOЩИХ соединений [закрыт]

1 Ответ

Comments

Закладки и информация

Статистика

Похожие вопросы: