CGatePro: Re: Re: SIP proxy

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Wed 23 Mar 2005 - 09:32:45 MSK

On Wed, 23 Mar 2005 12:20:28 +0600
"Victor Sudakov" <CGatePro@mx.ru> wrote:
> Vladimir A. Butenko wrote:

>> >Вопрос в сторону - а какие stateful firewalls умеют разбирать SIP
>> >сессию и открывать нужные порты в сторону клиента? 
>> >CBAC в IOS не умеет (по крайней мере в 12.2).
>> 
>> Не знаю, и, скажем так, знать не советую. Не будут эти firewalls работать. 
>> Никогда. То есть что-то более-менее простое они пропустят, но это и всё.
>> 
>> Оно, собственно, и не нужно - если не можете ставить CGatePro на сам 
>> firewall, ставьте его за ним, а на firewall прописываете, что все порты, 
>> которые вы указали в CGatePro Network->LAN Proxy строго открыты и строго 
>> проксируются (а лучше - "прокидываются") прямо на IP адрес стоящего за 
>>ними 
>> CGatePro. Ну а у него, понятно, надо прописать внешний адрес firewall как 
>> WAN IP, и выбрать правильный LAN IP.

>
> Я не про то спрашиваю, как спрятать CGP за firewall. С ним нет
> проблем, и хорошо документировано, какие порты открывать.
>
> Я про firewall, за которой можно спрятать UA (винду с WM или
> какой-нибудь IP телефон).

А я ответил - за любой не-symmetric, который с NAT, и при условии, что в CGatePro есть "far-end" NAT trabersal (4.3c2 and up), и при условии, что сам этот файрвол не пытается что-то "подправлять в SIP" сам. Некоторые firewalls умеют делать PnP (Plug & Play). Некоторые продукты - например, Микрософтовские (это их протокол) могут этим пользоваться, и узнавать у firewall/NAT какие адреса торчат снаружи, какие порты будут какими и пытаются сами работать из-под такого firewall, модифицируя свои SIP пакеты перед отправкой. У некототорых это получается - но только если firewall реализует такой протокол правильно.

Другие клиенты используют STUN-протокол, чтобы узнать, как их адреса-порты будут выглядеть снаружи, и опять же модифицируют SIP пакеты соответствующим образом. Опять же, у некоторых клиентов это получается. Всё более и более у многих.

А если это все не работает, то надо полагаться на CGatePro far-end NAT traversal.

А вот полагаться на то, что пятидесятидоллоравая коробочка, всунутуя между клиентом и Интернетом сможет правильно сама преобразовывать SIP пакеты - это несколько, э, оптимистично.

> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
>

Sincerely,
Vladimir Получено Wed Mar 23 06:32:42 2005

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:56 MSK