Linux防火墙NAT之SIP

最新推荐文章于 2024-08-15 15:05:17 发布
最新推荐文章于 2024-08-15 15:05:17 发布
阅读量3k 收藏 5
点赞数
分类专栏: TCPIP协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/79674426
版权

环境:

防火墙 - Ubuntu Server 17.10.

SIP - Yate客户端,Asterisk服务器

网络拓扑:


1)防火墙配置IP,打开转发:

   ifconfig enp2s0 192.168.1.131
   ifconfig enp3s0 192.168.100.1
   
   echo 1 > /proc/sys/net/ipv4/ip_forward

2)加载nf_nat_sip模块建立expectations:

modprobe nf_nat_sip

3)配置FORWARD链,仅接收192.168.1.0/24网段的新建数据流和已建立或关联的数据流:

   iptables -t filter -P FORWARD DROP
   iptables -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT
   iptables -t filter -A FORWARD -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   iptables -t filter -A FORWARD -j LOG

4)使能conntrack的SIP helper:

   echo 1 > /proc/sys/net/netfilter/nf_conntrack_helper
   或者:
   iptables -t raw -A PREROUTING -p udp -m udp --dport 5060 -j CT --helper sip

5) 配置SNAT:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.100.1

6)检查conntrack建立情况:

root@localhost:~# conntrack  -L
udp      17 28 src=192.168.1.104 dst=192.168.100.100 sport=20551 dport=15061 src=192.168.100.100 dst=192.168.100.1 sport=15061 dport=20551 mark=0 use=1
udp      17 179 src=192.168.1.104 dst=192.168.100.100 sport=20550 dport=15060 src=192.168.100.100 dst=192.168.100.1 sport=15060 dport=20550 [ASSURED] mark=0 use=1
udp      17 3596 src=192.168.1.104 dst=192.168.100.100 sport=65309 dport=5060 src=192.168.100.100 dst=192.168.100.1 sport=5060 dport=65309 [ASSURED] mark=0 helper=sip use=3
root@localhost:~#

创建了一条dport等于5060的主session和一条RTP(dport等于20550)、一条RTCP的子session。

或者配置DNAT:

iptables -t nat -A PREROUTING -d 192.168.1.131 -i enp2s0 -j DNAT --to-destination 192.168.100.100

再次检查conntrack建立情况:

root@localhost:~# conntrack -L
udp      17 179 src=192.168.1.104 dst=192.168.1.131 sport=29448 dport=16988 src=192.168.100.100 dst=192.168.1.104 sport=16988 dport=29448 [ASSURED] mark=0 use=1
udp      17 3595 src=192.168.1.104 dst=192.168.1.131 sport=53966 dport=5060 src=192.168.100.100 dst=192.168.1.104 sport=5060 dport=53966 [ASSURED] mark=0 helper=sip use=3
udp      17 27 src=192.168.1.104 dst=192.168.1.131 sport=29449 dport=16989 src=192.168.100.100 dst=192.168.1.104 sport=16989 dport=29449 mark=0 use=1
root@localhost:~#
测试间隔必须清空conntrack -D,以免残留connection对新连接造成影响。
防火墙NAT配置实战
悦分享
10-05 463
5] : 如果符合NAT策略中源地址.目的地址信息校验,检验后源目的匹配,那么创建session table 会将转换前和转换后的地址都加入到session table。当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。对于NAPT来说防火墙不创建server-map表,因为NAPT需要转换的端口,每一次端口ID不同,所以无法创建server-map。-PAT使用server-map表,不转换端口速度较快。
SIP协议NAT穿越技术
Living And Programing
04-25 2084
  SIP协议NAT穿越技术翻译:Karl Ma原文:http://freshmeat.net/articles/view/2079/NAT 指的是网络地址转换(Netword Address Translation)。这一技术使得大部分人可以在家里用多于一台的计算机上网但只用一个IP地址。多半时间里,一台有NAT功能的路由器支持从内部 网络(带有内部IP地址)中取得数据,并将其发送到
NAT SIP helper
redwingz的博客
01-30 2662
函数nf_nat_sip_init注册SIP协议NAT helper,用于修改协议报文中的地址和端口信息。如下nf_nat_sip_hooks结构变量sip_hooks,赋值于nf_nat_sip_hooks,在SIP连接跟踪中使用。msg指针函数主要用于修改SIP消息中的字段,其它sdp开头的指针函数修改SDP消息中的字段。 static const struct nf_nat_sip_hooks sip_hooks = { .msg = nf_nat_sip, .seq_
SIP之穿越NAT
03-26
SIP之穿越NAT
内核态sip alg学习笔记1
可见光分子
12-10 825
最近在研究如何将开源的sip alg切换到内核态,基本算是成功了,在这里将所需要的知识和遇到的坑简单梳理一下。按照如下表格所述修改,基本上就已经启用内核态的sip alg了。 内核版本 4.14 涉及的文件 nf_conntrack_sip.c nf_nat_sip.c 编译依赖关系 \linux-4.14.158\net\netfilt...
连接跟踪SIP协议
redwingz的博客
01-28 4451
ip_conntrack_sip模块用于为SIP协议建立所需的连接跟踪。支持指定最大8个监听端口,多个端口号使用逗号分隔。另外在加载模块时可指定的参数有: sip_timeout 主SIP会话的超时时长,默认3600秒 sip_direct_signalling 仅接受注册服务器发出的呼叫,默认为1 sip_direct_media 仅在交互信令的两端建立媒体流,默认为1 sip_external_media 支持与非交互信令的端点建立媒体流,默认为0 # modprobe
【内网】配置firewalld
最新发布
qq_43497436的博客
08-15 723
给服务器配置firewalld服务,启动服务没有报错,但是查看服务状态是没拉起来的。
sysctl -p报错 sysctl: cannot stat /proc/sys/net/nf_conntrack_xxxx: No such file or directory
热门推荐
ZYYPDH的博客
11-18 2万+
1、执行sysctl -p时报错如下: sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established: No such file or directory sysctl: cannot stat /proc/sys/net/netfil
《TCP/IP详解 卷一》第7章 防火墙NAT
qingwangheni的博客
02-26 1773
代理防火墙:一种应用层网关ALG。每个应用都需要在防火墙上有自己的代理处理程序,以便修改其中载荷。对于NAT后的内网服务器,需在NAT上主动配置端口转发,以允许外网流量的主动访问。路由器收到报文后,一般先路由表查找,再NAT。如果先NAT,后查找路由表,后果:路由表查找不准确。连接追踪可能无法正确识别或跟踪连接的状态。安全问题,未授权报文可能被错误转发到网络中。
Linux安全 - 详解Linux防火墙(一)
weixin_42193489的博客
05-23 545
1.防火墙定义: 工作在主机边缘处或者网络边缘处对数据报文进行检测,并且能够事先定义好的规则,对数据报文进行相应处理的模块 2.防火墙分类: 构造: 硬件: 深信服(深圳)、网御(联想)、华为的一些硬件防火墙 软件: windos防火墙linux的iptables防火墙 工作机制: 包过滤防火墙: 根据 源地址(SIP)、目标地址(DIP)、源端口(SPORT)、目标端口(DPORT) 去做数据包的过滤 应用层防火墙: 根据 URL 、主机名(HOSTNAME) 去做数据包的过滤 模块: 应用态: i
Linux环境下的SIP电话Proxy守护神程序
总结来说,SIP电话Proxy守护神是一个在Linux环境下用C语言编写的SIP代理服务器程序,它的作用是允许SIP客户端在防火墙或路由器后方正常工作,尤其是在NAT环境下进行SIP通信。作为一个SIP Proxy,它能够帮助解决NAT...
NAT技术总结
weixin_54543120的博客
09-01 1932
1. 两种类型: app-layer:ALG transport layer/ IP layer:packet filtering 2. pkt过滤方式(layer3/4):内部网通过路由器防火墙(router firewall)与外界连接,路由器过滤经过的每一个包,检查:srcIP,dstIP;port num;ICMP msg 种类;TCP的SYN 位和ACK 位;以及ip的protocol&n
RHEL7 模块开机加载
weixin_30278311的博客
08-24 240
一、问题背景 平台上的虚拟机经常遭遇DDOS攻击,由于我们启动了iptables的state模块做安全策略,因此收到攻击时经常导致物理机nf_contract表超过默值,进而影响到整个物理机上的虚拟机丢包,因此要增大该值,我通过/etc/sysctl.conf来实现这个功能。测试发现,修改后服务器(RHEL7.1)重启一直不生效!之前在RHEL6的系统上是好的啊,why ? ...
Iptables之nf_conntrack模块
u011029104的专栏
02-18 1670
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
SIP代理如何解决NAT相关的问题
同心圆的故事
11-18 1536
使用opensips打通外网话机与内网的freeswitch以及内网的话机的交互网路
NAT SIP helper-2
redwingz的博客
02-12 727
NAT SIP测试拓扑如下: |-------------------------| 60.1.1.2 ----| 60.1.1.1 | | | | 192.168.1.127 |------- 192.168.1.109 | | 50.1.1.2
SIP语音环境中十大经典问题及解决办法
AI_wx_3307623172的博客
04-20 5356
在VOIP的环境中,特别是基于SIP通信的环境中,我们经常会遇到一些非常常见的问题,例如,单通,30秒就断线,注册问题,回声等。这些问题事实上都有非常直接的排查方式和解决办法,用户可以按照一定的排查方式,工具非常高效地解决这些问题。但是,因为读者技术水平参差不齐,网络上的很多技术也不完整。笔者今天系统归纳了这些问题。根据一些用户的使用环境和用户经常遇到一些问题,我们列举了以下十个在SIP呼叫中经常遇到的问题,并且给出了相应的排查方式,博主weixin@yuyinjiqiren用户可以按照这些方法来解决SIP
linux内核协议栈 netfilter 之连接跟踪子系统初始化
11-03 694
目录 1 连接跟踪模块概述 2核心初始化入口module_init(nf_conntrack_standalone_init); 2.1创建/proc/net/nf_conntrack只读文件nf_conntrack_standalone_init_proc() 2.2 注册 /proc/sys/ 下相关文件 3 核心初始化nf_conntrack_init() 3.1 hash表大小计算、L3L4协议栈模块、helper模块初始化 3.1.1L3L4协议栈模块初始化 3.1.2...
SIP穿越NAT SIP穿越防火墙-SBC
weixin_33694620的博客
07-30 686
FireWall&NAT FireWall是一种被动网络安全防卫技术,位于网络的边界。在两个网络之间运行訪问控制策略。防止外部网络对内部信息资源的非法訪问,也能够阻止特定信息从内部网络被非法输出。一般来说,防火墙将过滤掉全部不请自到的网络通信(除指定开放的地址和port)。 NAT技术分为主要的网络地址转换技术(NAT)和网络地址与port转换技术(NAPT。Ne...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值