.titleBar { margin-bottom: 5px!important; }

iptables und rtp

Dieses Thema im Forum "Firewalls" wurde erstellt von Ganeymed, 16 Aug. 2005.

  1. Ganeymed

    Ganeymed Neuer User

    Registriert seit:
    25 Mai 2005
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich baue gerade diese Szenario auf:
    [​IMG]

    Auf dem Proxy läuft ein SIP/RTP Proxy.

    SIP und RTP verwenden ja beide das UDP Protokoll.
    (SIP port 5060) und RTP alle Highports. Also wird mit RTP SIP ja abgedeckt.

    Daher habe ich in meinen iptables das eingefügt:

    Code:
    $IPTABLES -A FORWARD -p udp -i $DMZ_ETH --sport 1024:65535 -o $EXTERN_ETH --dport 1024:65535 -j -m state \ --state NEW ACCEPT
    $IPTABLES -A FORWARD -p udp -i $EXTERN_ETH --sport 1024:65535 -o $DMZ_ETH --dport 1024:65535 -m state \ --state NEW -j ACCEPT
    $IPTABLES -A FORWARD -p udp -i $INTERN_ETH --sport 1024:65535 -o $DMZ_ETH --dport 1024:65535 -j -m state \ --state NEW ACCEPT
    $IPTABLES -A FORWARD -p udp -i $DMZ_ETH --sport 1024:65535 -o $INTERN_ETH --dport 1024:65535 -m state \ --state NEW -j ACCEPT
    
    Also ist UDP auf den Highports erlaubt zwischen
    Intern<=>DMZ und DMZ <=> Extern
    sonst aber nix.

    Allerdingst ist das jetzt über den gesammten Highportrange offen.
    Ich weis eine DMZ ist normaleweise noch viel offener,
    Ich habs ja schon auf UDP beschränkt.
    Aber ich würde das gerne noch etwas mehr zuschnüren.

    Gibt es mit iptables eine Möglichkeit nur UDP Pakete zu akzeptieren, die RTP Payload enthalten?
    Ich meine Ethereal kann doch auch erkennen, daß es ein RTP Verkehr ist....

    Wie komme ich mit iptables an den (RTP/Payload)
    [​IMG]
    Oder kann iptables echt nur das Protokoll UDP und den Port erkennen?

    Viele Grüße
    Ganeymed