Re: norelay:signal:xxx 2 sipgw on lan. Фича? Или Бага?

От: Sergey Kronshtadtov <CGatePro_at_mx_ru>
Дата: Wed 25 Jul 2007 - 11:01:22 MSD

>> Ага! Мне в голову почему-то тогда не приходило, что гейтвей может 
>> рассматриваться как клиент:)
>> Здесь есть какая-то порочность...
>> "Клиенты" это те, кому мы разрешаем _пользоваться_ нашими сервисами. 
>> Они находятся в своей "клиентской" сети. Или _они_ авторизуются у нас.
>> "Гейтвей" это тот, кто _предоставляет_ нам сервисы. Это _мы_ на нем 

>> авторизуемся.

> Соответственно, если ему у нас авторизоваться не надо вообще, ему в > списке клиентских адресов делать нечего. А если он случайно туда попал? (как у меня- есть только одна сеть?) На основании чего я должен сделать вывод, что его надо эксклюдить? тут какая последовательность действий возможна: 1 человек почту настроил. прописал внутреннюю сеть как клиентскую. почему прописал? потомучто это удобно.
2 через полгода взялся за voip и настроил гейтвей в той же сети. Получил открытый релей.
3 в этот момент он должен его заэксклюдить поидее. При чем не галкой в настройках гейтвея, увидеть которую и нажать у него есть все шансы, а слазив в клиентские адреса, которые он настраивал полгода назад. Кроме того - самое главное - настраивая _гейтвей_ он должен догадаться описать его поведение как _клиента_ (Я уже говорил- я свято верил, что sipgw системой как клиенты вообще не рассматритваются).

Так вот вопрос: где тот триггер, по которому админ, не обладающий обсуждаемым сейчас тайным знанием, заэксклюдит гейтвей из клиентского диапазона?

>
> Исторически список клиентских адресов был нужен для клиентов, чьи SMTP 
> мейлеоы не умели авторизовываться. И без "особого отношения" почту 
> отправлять через CGPro они не могли.
>
> Дополнительно в сервере была реализована возможность отказа в доступе 
> для всех адресов кроме клиентских. Эта настройка тоже отжила свое - 
> вместо нее можно пользоваться службй Mobile, ее выключение в 
> настройках домена приводитть к аналогичным результатам.

именно _эта_, наверное, да (у вас она из сображений совсестимости конфигураций оставлена, так?)
Но, похоже, _не_ "client ips". Вот из инструкции про мобайлов: ===
Mobile
If this option is disabled, Domain users will not be able to connect to their Accounts from Internet Addresses not included into the Client Addresses list. This can be useful if you provide free Accounts in this Domain and you want Domain users to connect to those Accounts only from the dial-up addresses your own site provides. ===
то есть, если я выключу мобайлов и выкину все из клиентских айпишников, то ни у кого доступа, похоже, на будет?
> Так что, с использованием современных клиентов Client Hostsсвою роль > потеряли. Адреса туда надо добавлять только в крайних случаях. Кажется, тут противоречие. ?? (см выше) они нужны, чтобы мобайлы не ломились. Если "доступ имеет внутренняя сеть - и все"

>> И если клиент для нас это "тупик", который кончается на клиентском - 
>> же айпишнике (что он внутри со звонками делает - не наше дело), то 
>> гейтвей для нас - это "вотора в параллельную вселенную"
>>
>> - А если он в клиентской сети?
>> - А ну и что?
>>
>> Чесслово, в настройках Realtime/SIP/Gateways возможность установки 
>> галки "Don't treat this gateway as a potential client" очень сильно 
>> украсила бы CGP:)
> Нет, это было бы добавление ненужных сущностей.

С точки зрения программного кода, вполне допускаю, что так оно и есть. С точки зрения пользователя, при наличии настроек, относящихся к клиентским айпишникам (как сейчас), и поведением системы, когда sipgw в определенный момент рассматривается по правилам, написанным для клиентов (как сейчас) совсем не лишняя. Это как раз и был бы "тот самый" триггер, чтоб админ понял что может произойти.

>> ...Не могу что-то сходу придумать. Эту фичу с гейтвеями-клиентами 
>> как-то в мирных целях можно использовать? Может быть, лучше ее вообще 
>> объявить багой и убрать от греха подальше? А то народ понаделает 
>> открытых релеев.

Вы чуть выше написали:
"Соответственно, если ему у нас авторизоваться не надо вообще, ему в списке клиентских адресов делать нечего. " Вероятно, "гейтвейно-клиентский" функционал в качестве фичи не нужен? Я не знаю как оно внутри работает, но если не нужен, возможно, имеет смысл загрязнать код парой проверок и дистанцировать sipgw от клиентов, чтоб от этого эффекта избавиться?

Иначе будут появляться открытые голосовые релеи через эту фичу (а может быть уже есть). Вряд ли пользователи обрадуются. Получено Wed Jul 25 07:01:37 2007