c'est que je ne peux ne pas m'enregistrer avec un client sip provenant du WAN
sur le LAN, ok mais tres long
avec cette regle c'est immediat des 2 cotes
redirection port iptables Le sujet est résolu
-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
Etonnant. Je ne comprends pas. Peux-tu essayer avec cette règle à la place ? Elle bloque les paquets au lieu de les rediriger.
Code : Tout sélectionner
iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -j DROP-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
Et celle-ci ? Elle envoie une notification de rejet au lieu de bloquer silencieusement.
Code : Tout sélectionner
iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -j REJECT-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
C'est aussi bien qu'avec la règle REDIRECT ou pas ?
-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
Cela confirme que ce n'était pas la redirection elle-même qui réduisait le délai mais le fait de recevoir une notification d'erreur en réponse aux paquets émis. Le REDIRECT redirigeait vers un port fermé qui renvoie ce type de notification. N'importe quel autre port fermé que le 5058 aurait eu le même effet.
Maintenant, la curiosité me fait demander laquelle des deux applications tournant sur le Raspberry, asterisk ou le client SIP, émet ces paquets, à destination de quoi, dans quel but. Une première étape consisterait à logger les paquets avant de les rejeter.
Ainsi ils seront tracés dans les logs du noyau consultables avec dmesg ou dans /var/log/kern.log.
Ça ne dira pas par quoi ils sont émis mais vers quoi.
Si Asterisk est lancé avec un utilisateur particulier, tu peux préciser la règle pour ne tracer que les paquets émis par cet utilisateur :
Idem avec le client SIP.
Maintenant, la curiosité me fait demander laquelle des deux applications tournant sur le Raspberry, asterisk ou le client SIP, émet ces paquets, à destination de quoi, dans quel but. Une première étape consisterait à logger les paquets avant de les rejeter.
Code : Tout sélectionner
iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -j LOGÇa ne dira pas par quoi ils sont émis mais vers quoi.
Si Asterisk est lancé avec un utilisateur particulier, tu peux préciser la règle pour ne tracer que les paquets émis par cet utilisateur :
Code : Tout sélectionner
iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -m owner --uid-owner <utilisateur-asterisk> -j LOG --log-prefix "asterisk: "-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
Je ne parle pas de l'identifiant SIP, mais de l'utilisateur sous lequel le processus local est lancé.
PS : "iptables -I" insère la règle en début de chaîne. Il faut donc insérer en dernier la chaîne LOG qui doît être en première position. C'est utile pour ajouter une règle au jeu de règles actif sans tout recharger. Si on recharge tout avec un script, il faut utiliser -A et créer la règle LOG en premier.
PS : "iptables -I" insère la règle en début de chaîne. Il faut donc insérer en dernier la chaîne LOG qui doît être en première position. C'est utile pour ajouter une règle au jeu de règles actif sans tout recharger. Si on recharge tout avec un script, il faut utiliser -A et créer la règle LOG en premier.
-
piratebab
- Site Admin
- Messages : 5870
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Si j'ai bien compris, le port de 5060 de la box coté LAN est réservé par le FAI, il n'est apparemment pas routable correctement sur le WANempêcher le Raspberry d'émettre des paquets UDP à destination du port 5060 sur le LAN ? Si oui, pour quelle raison ?
-
crashcoq
- Membre
- Messages : 22
- Inscription : 07 oct. 2018, 21:50
- Status : Hors-ligne
C'est bien ca
J'ai désactivé la téléphonie SIP dans la box SFR qui envoyait des paquets sur tout le réseau en UDP 5060
Impossible de créer une réglé NAT 5060, refus de la box
Et si j active asterisk en 5060, la box réactive la telephonie IP et plante 15 minutes apres ...
J'ai désactivé la téléphonie SIP dans la box SFR qui envoyait des paquets sur tout le réseau en UDP 5060
Impossible de créer une réglé NAT 5060, refus de la box
Et si j active asterisk en 5060, la box réactive la telephonie IP et plante 15 minutes apres ...
-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
Des paquets SIP ? A destination de quoi ? La box ?crashcoq a écrit : Pjsip lance des trames UDP, la box SFR répond et ca boucle
Comment vois-tu qu'ils sont émis par pjsip ?
D'après mes vagues souvenirs du protocole SIP, un client SIP n'envoie pas des paquets vers n'importe où mais seulement aux serveurs ou proxys auxquel il est connecté et/ou aux autres clients avec lesquels il est en communication.
D'autre part, la règle REJECT devrait bloquer ces paquets.
-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
Vers quelle adresse de destination ?
Pjsip est configuré pour s'enregistrer avec un serveur SIP donné, qui est logiquement l'asterisk local, non ?
Pjsip est configuré pour s'enregistrer avec un serveur SIP donné, qui est logiquement l'asterisk local, non ?
-
PascalHambourg
- Contributeur
- Messages : 930
- Inscription : 05 août 2016, 20:25
- Status : Hors-ligne
255.255.255.255 ? C'est l'adresse de broadcast limité sur le lien local. Les autres addresses 255.*.*.* sont réservées, elles ne devraient pas être utilisées.