redirection port iptables Le sujet est résolu

Demande d'aide : c'est ici.
Message
Auteur
crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#21 Messagepar crashcoq » 10 oct. 2018, 17:13

c'est que je ne peux ne pas m'enregistrer avec un client sip provenant du WAN
sur le LAN, ok mais tres long

avec cette regle c'est immediat des 2 cotes

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#22 Messagepar PascalHambourg » 10 oct. 2018, 17:20

Etonnant. Je ne comprends pas. Peux-tu essayer avec cette règle à la place ? Elle bloque les paquets au lieu de les rediriger.

Code : Tout sélectionner

iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -j DROP

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#23 Messagepar crashcoq » 10 oct. 2018, 17:25

y a du mieux c'est tres long cote WAN et LAN, presque 20s alors qu'en temps normal c'est 2 à 3 s maxi

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#24 Messagepar PascalHambourg » 10 oct. 2018, 17:30

Et celle-ci ? Elle envoie une notification de rejet au lieu de bloquer silencieusement.

Code : Tout sélectionner

iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -j REJECT

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#25 Messagepar crashcoq » 10 oct. 2018, 17:49

ca va beaucoup mieux
surement à cause du REJECT mais j'explique pas pourquoi ...

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#26 Messagepar PascalHambourg » 10 oct. 2018, 17:51

C'est aussi bien qu'avec la règle REDIRECT ou pas ?

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#27 Messagepar crashcoq » 10 oct. 2018, 17:55

oui pareil
meme rapidite

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#28 Messagepar PascalHambourg » 10 oct. 2018, 21:20

Cela confirme que ce n'était pas la redirection elle-même qui réduisait le délai mais le fait de recevoir une notification d'erreur en réponse aux paquets émis. Le REDIRECT redirigeait vers un port fermé qui renvoie ce type de notification. N'importe quel autre port fermé que le 5058 aurait eu le même effet.

Maintenant, la curiosité me fait demander laquelle des deux applications tournant sur le Raspberry, asterisk ou le client SIP, émet ces paquets, à destination de quoi, dans quel but. Une première étape consisterait à logger les paquets avant de les rejeter.

Code : Tout sélectionner

iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -j LOG
Ainsi ils seront tracés dans les logs du noyau consultables avec dmesg ou dans /var/log/kern.log.
Ça ne dira pas par quoi ils sont émis mais vers quoi.
Si Asterisk est lancé avec un utilisateur particulier, tu peux préciser la règle pour ne tracer que les paquets émis par cet utilisateur :

Code : Tout sélectionner

iptables -I OUTPUT -o eth0 -p udp --dport 5060 -m state --state NEW -m owner --uid-owner <utilisateur-asterisk> -j LOG --log-prefix "asterisk: "
Idem avec le client SIP.

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#29 Messagepar crashcoq » 10 oct. 2018, 21:53

Je testerai demain pour faire un retour
Ça sera assez facile car chaque client sip a son propre id asterisk

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#30 Messagepar PascalHambourg » 10 oct. 2018, 22:00

Je ne parle pas de l'identifiant SIP, mais de l'utilisateur sous lequel le processus local est lancé.

PS : "iptables -I" insère la règle en début de chaîne. Il faut donc insérer en dernier la chaîne LOG qui doît être en première position. C'est utile pour ajouter une règle au jeu de règles actif sans tout recharger. Si on recharge tout avec un script, il faut utiliser -A et créer la règle LOG en premier.

Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 2618
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Re: redirection port iptables

#31 Messagepar piratebab » 10 oct. 2018, 22:33

empêcher le Raspberry d'émettre des paquets UDP à destination du port 5060 sur le LAN ? Si oui, pour quelle raison ?
Si j'ai bien compris, le port de 5060 de la box coté LAN est réservé par le FAI, il n'est apparemment pas routable correctement sur le WAN

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#32 Messagepar crashcoq » 10 oct. 2018, 22:51

C'est bien ca
J'ai désactivé la téléphonie SIP dans la box SFR qui envoyait des paquets sur tout le réseau en UDP 5060
Impossible de créer une réglé NAT 5060, refus de la box
Et si j active asterisk en 5060, la box réactive la telephonie IP et plante 15 minutes apres ...

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#33 Messagepar crashcoq » 12 oct. 2018, 08:54

J'ai un truc assez bizarre
Pjsip lance des trames UDP, la box SFR répond et ca boucle
Avec un routeur seul, pjsip envoie 4 trames et terminé (vérifie avec wireshark)
Bref une box de merde....

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#34 Messagepar PascalHambourg » 12 oct. 2018, 16:07

crashcoq a écrit : Pjsip lance des trames UDP, la box SFR répond et ca boucle
Des paquets SIP ? A destination de quoi ? La box ?
Comment vois-tu qu'ils sont émis par pjsip ?
D'après mes vagues souvenirs du protocole SIP, un client SIP n'envoie pas des paquets vers n'importe où mais seulement aux serveurs ou proxys auxquel il est connecté et/ou aux autres clients avec lesquels il est en communication.
D'autre part, la règle REJECT devrait bloquer ces paquets.

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#35 Messagepar crashcoq » 12 oct. 2018, 16:15

J'ai lancé pjsip sans asterisk seulement
Et sans aucune règle iptables appliqué
Avec les règles rien

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#36 Messagepar PascalHambourg » 12 oct. 2018, 16:43

Vers quelle adresse de destination ?
Pjsip est configuré pour s'enregistrer avec un serveur SIP donné, qui est logiquement l'asterisk local, non ?

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#37 Messagepar crashcoq » 12 oct. 2018, 16:57

Oui exact 127.0.0.1
Trame a destination de 255.xxx ,j'ai plus ladresse sous la main de suite
J'utilise pour info un kernel armbian

PascalHambourg
Contributeur
Contributeur
Messages : 295
Inscription : 05 août 2016, 20:25
Status : Hors-ligne

Re: redirection port iptables

#38 Messagepar PascalHambourg » 12 oct. 2018, 17:27

255.255.255.255 ? C'est l'adresse de broadcast limité sur le lien local. Les autres addresses 255.*.*.* sont réservées, elles ne devraient pas être utilisées.

crashcoq
Membre
Membre
Messages : 20
Inscription : 07 oct. 2018, 21:50
Status : Hors-ligne

Re: redirection port iptables

#39 Messagepar crashcoq » 12 oct. 2018, 18:24

Je te confirme des que je peux
Je vais essayer pjsip sous un autre système pour verifier


Revenir à « Support Debian »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités