sip firewall iptables alg – best practice

Wie bei vielen Protokollen im Netzwerk sind unzählige zufällige Ports mit involviert.

Bei SIP stehen wir vor einem ähnlichen Problem mit den RTP-Ports für das eigentliche Gespräch.

Anbei einige Überlegungen für eine sinnvolle Firewall-Konfiguration:

Die interne IP-Telefonanlage baut immer initial eine Verbindung zu den externen Providerkonten auf (SIP lines oder trunks) um sich dort zu registrieren.

Damit diese Zustände – also Verbindung bereits aufgebaut (ESTABLISHED) für sip-Verbindungen auch gespeichert werden, sind die conntrack_sip Helper Module nötig.

nf_nat_sip und nf_conntrack_sip

Intern initiierte Verbindungen werden dann in /proc/net/nf_conntrack registriert.

Das heißt, es ist keine FW-Regel nötig, welche von extern Port 5060 erlaubt oder gar weiterleitet auf einen internen Host!!

Lediglich eine Regel ist nötig die besagt, dass bereits bestehende oder ähnliche (RELATED, ESTABLISHED) Verbindungen akzeptiert werden.

In unserem Fall iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT

Das wars!

Quelle: http://www.iptel.org/sipalg