Hallo,
ich baue gerade diese Szenario auf:
Auf dem Proxy läuft ein SIP/RTP Proxy.
SIP und RTP verwenden ja beide das UDP Protokoll.
(SIP port 5060) und RTP alle Highports. Also wird mit RTP SIP ja abgedeckt.
Daher habe ich in meinen iptables das eingefügt:
Also ist UDP auf den Highports erlaubt zwischen
Intern<=>DMZ und DMZ <=> Extern
sonst aber nix.
Allerdingst ist das jetzt über den gesammten Highportrange offen.
Ich weis eine DMZ ist normaleweise noch viel offener,
Ich habs ja schon auf UDP beschränkt.
Aber ich würde das gerne noch etwas mehr zuschnüren.
Gibt es mit iptables eine Möglichkeit nur UDP Pakete zu akzeptieren, die RTP Payload enthalten?
Ich meine Ethereal kann doch auch erkennen, daß es ein RTP Verkehr ist....
Wie komme ich mit iptables an den (RTP/Payload)
Oder kann iptables echt nur das Protokoll UDP und den Port erkennen?
Viele Grüße
Ganeymed
ich baue gerade diese Szenario auf:
Auf dem Proxy läuft ein SIP/RTP Proxy.
SIP und RTP verwenden ja beide das UDP Protokoll.
(SIP port 5060) und RTP alle Highports. Also wird mit RTP SIP ja abgedeckt.
Daher habe ich in meinen iptables das eingefügt:
Code:
$IPTABLES -A FORWARD -p udp -i $DMZ_ETH --sport 1024:65535 -o $EXTERN_ETH --dport 1024:65535 -j -m state \ --state NEW ACCEPT
$IPTABLES -A FORWARD -p udp -i $EXTERN_ETH --sport 1024:65535 -o $DMZ_ETH --dport 1024:65535 -m state \ --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p udp -i $INTERN_ETH --sport 1024:65535 -o $DMZ_ETH --dport 1024:65535 -j -m state \ --state NEW ACCEPT
$IPTABLES -A FORWARD -p udp -i $DMZ_ETH --sport 1024:65535 -o $INTERN_ETH --dport 1024:65535 -m state \ --state NEW -j ACCEPT
Also ist UDP auf den Highports erlaubt zwischen
Intern<=>DMZ und DMZ <=> Extern
sonst aber nix.
Allerdingst ist das jetzt über den gesammten Highportrange offen.
Ich weis eine DMZ ist normaleweise noch viel offener,
Ich habs ja schon auf UDP beschränkt.
Aber ich würde das gerne noch etwas mehr zuschnüren.
Gibt es mit iptables eine Möglichkeit nur UDP Pakete zu akzeptieren, die RTP Payload enthalten?
Ich meine Ethereal kann doch auch erkennen, daß es ein RTP Verkehr ist....
Wie komme ich mit iptables an den (RTP/Payload)
Oder kann iptables echt nur das Protokoll UDP und den Port erkennen?
Viele Grüße
Ganeymed