* [sisyphus] Видеоконференция и iptables @ 2006-07-05 12:18 Шенцев Алексей Владимирович 2006-07-05 13:38 ` Andrii Dobrovol`s`kii 0 siblings, 1 reply; 11+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-05 12:18 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 502 bytes --] Кому это интересно. Задача в следующем: имеется видеофон с ip-адресом из диапазона 192.168.2.x.x, инет-адрес шлюза в интернет, необходимо осуществить связь с абонентам ив интернете, имеющими белый ip-адрес, при этом абоненты должны иметь возможность вызывать видеофон, с адресом 192.168.x.x. Полученное решение во вложении. Вызов видеофона с ip-адресом из диапазона 192.168.2.x.x происходит по ip-адресу интернет-шлюза. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 [-- Attachment #2: myiptables2 --] [-- Type: application/x-shellscript, Size: 16735 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-05 12:18 [sisyphus] Видеоконференция и iptables Шенцев Алексей Владимирович @ 2006-07-05 13:38 ` Andrii Dobrovol`s`kii 2006-07-05 13:58 ` Шенцев Алексей Владимирович 2006-07-06 4:48 ` Шенцев Алексей Владимирович 0 siblings, 2 replies; 11+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-07-05 13:38 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 1070 bytes --] Шенцев Алексей Владимирович пишет: > Кому это интересно. > Задача в следующем: имеется видеофон с ip-адресом из диапазона 192.168.2.x.x, > инет-адрес шлюза в интернет, необходимо осуществить связь с абонентам ив > интернете, имеющими белый ip-адрес, при этом абоненты должны иметь > возможность вызывать видеофон, с адресом 192.168.x.x. Полученное решение во > вложении. Вызов видеофона с ip-адресом из диапазона 192.168.2.x.x происходит > по ip-адресу интернет-шлюза. > -- > С уважением Шенцев Алексей Владимирович. > E-mail: ashen@nsrz.ru > ICQ: 271053845 > Алексей, Ваше решение масштабируется на более чем один телефон? Скажем если Вам нужно вызывать из мира десяток разных абонентов? -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-05 13:38 ` Andrii Dobrovol`s`kii @ 2006-07-05 13:58 ` Шенцев Алексей Владимирович 2006-07-05 14:11 ` Andrii Dobrovol`s`kii 2006-07-05 16:08 ` Alexei Takaseev 2006-07-06 4:48 ` Шенцев Алексей Владимирович 1 sibling, 2 replies; 11+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-05 13:58 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В сообщении от 5 июля 2006 17:38 Andrii Dobrovol`s`kii написал(a): > Алексей, Ваше решение масштабируется на более чем один телефон? > Скажем если Вам нужно вызывать из мира десяток разных абонентов? Я получил конкретное решение для одного аппарата, находящегося за iptables и имеющего ip-адрес из диапазона 192.168.x.x . Если будет больше аппаратов, с которыми надо связываться из интернета и находящимися за iptables, то решение скорее всего будет иным. Я думаю оно должно заключаться в следующем - аппараты должны будут иметь белые ip-адреса и находиться за iptbales, инет трафик на них просто перенаправляется. Пример такого решения можно взять в книге "Безопасность Linux. Руководство администратора по системам защиты с открытым исходным кодом". Там хоть и приведён пример для пропуска трафика за iptables для серверов типам ftp, mail, web. Но оно должно подойти и для видеофонов. Да, ещё один момент - в полученном мной решении трафик от/к видеофона(у) идёт на/от конкретные(ых) ip-адреса(ов), т.е. видеофон может быть вызван определённым кругом абонентов, так же как и видеофон может вызвать только определённых абонентов. Так же очень важным является отработка icmp-трафика, в первую очередь ping'ов. Но тут возникает опасность атак типа "наводнения ping-пакетами". Я думаю, что применённое мной решение - ограничение количества и длины принимаемых в секунду ping'ов, позволит решить делему: нужно отвечать использовать icmp-трафик и избежать атак типа "наводнения ping-пакетами". Я не считаю, что полученное мной решение совершенно, если мне посоветуют более совершенное решение я буду премного благодарен. И ещё, видеофон от D-Link, модели DVC-2000. Для других моделей могут использоваться иные порты, отличные от 15329:15332, 32700:32799. Значения этих портов я получил с помощью tcpdump. Проверка связи видеофонов показала, что, даже если у абонента в инете другая модель этих портов достаточно. у и жрёт же трафик этот видеофон: до мегабайта за 2 секунды ... :) Вот же счета за инет-трафик нам будут выставляться ... :) -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-05 13:58 ` Шенцев Алексей Владимирович @ 2006-07-05 14:11 ` Andrii Dobrovol`s`kii 2006-07-05 16:08 ` Alexei Takaseev 1 sibling, 0 replies; 11+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-07-05 14:11 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 2576 bytes --] Шенцев Алексей Владимирович пишет: > В сообщении от 5 июля 2006 17:38 Andrii Dobrovol`s`kii написал(a): >> Алексей, Ваше решение масштабируется на более чем один телефон? >> Скажем если Вам нужно вызывать из мира десяток разных абонентов? > Я получил конкретное решение для одного аппарата, находящегося за iptables и > имеющего ip-адрес из диапазона 192.168.x.x . Если будет больше аппаратов, с > которыми надо связываться из интернета и находящимися за iptables, то решение > скорее всего будет иным. Я думаю оно должно заключаться в следующем - > аппараты должны будут иметь белые ip-адреса и находиться за iptbales, инет > трафик на них просто перенаправляется. Пример такого решения можно взять в > книге "Безопасность Linux. Руководство администратора по системам защиты с > открытым исходным кодом". Там хоть и приведён пример для пропуска трафика за > iptables для серверов типам ftp, mail, web. Но оно должно подойти и для > видеофонов. Да, ещё один момент - в полученном мной решении трафик от/к > видеофона(у) идёт на/от конкретные(ых) ip-адреса(ов), т.е. видеофон может > быть вызван определённым кругом абонентов, так же как и видеофон может > вызвать только определённых абонентов. Так же очень важным является отработка > icmp-трафика, в первую очередь ping'ов. Но тут возникает опасность атак > типа "наводнения ping-пакетами". Я думаю, что применённое мной решение - > ограничение количества и длины принимаемых в секунду ping'ов, позволит решить > делему: нужно отвечать использовать icmp-трафик и избежать атак > типа "наводнения ping-пакетами". Я не считаю, что полученное мной решение > совершенно, если мне посоветуют более совершенное решение я буду премного > благодарен. И ещё, видеофон от D-Link, модели DVC-2000. Для других моделей > могут использоваться иные порты, отличные от 15329:15332, 32700:32799. > Значения этих портов я получил с помощью tcpdump. Проверка связи видеофонов > показала, что, даже если у абонента в инете другая модель этих портов > достаточно. у и жрёт же трафик этот видеофон: до мегабайта за 2 > секунды ... :) Вот же счета за инет-трафик нам будут выставляться ... :) Понял. Спасибо за подробный ответ. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-05 13:58 ` Шенцев Алексей Владимирович 2006-07-05 14:11 ` Andrii Dobrovol`s`kii @ 2006-07-05 16:08 ` Alexei Takaseev 2006-07-06 5:41 ` Шенцев Алексей Владимирович 1 sibling, 1 reply; 11+ messages in thread From: Alexei Takaseev @ 2006-07-05 16:08 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Wed, 5 Jul 2006 17:58:35 +0400 Шенцев Алексей Владимирович wrote: > В сообщении от 5 июля 2006 17:38 Andrii Dobrovol`s`kii написал(a): > > Алексей, Ваше решение масштабируется на более чем один телефон? > > Скажем если Вам нужно вызывать из мира десяток разных абонентов? > Я получил конкретное решение для одного аппарата, находящегося за > iptables и имеющего ip-адрес из диапазона 192.168.x.x . Если будет > больше аппаратов, с которыми надо связываться из интернета и > находящимися за iptables, то решение скорее всего будет иным. Я думаю > оно должно заключаться в следующем - аппараты должны будут иметь > белые ip-адреса и находиться за iptbales, инет трафик на них просто > перенаправляется. Пример такого решения можно взять в книге А если возможности выдачи H.323 железкам реальных адресов нет, то вероятнее всего придется на роутере ставить нечто gnugk для маршрутизации вызовов. Насчет видео не знаю, а вот для голосам пришлось поступить именно так. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-05 16:08 ` Alexei Takaseev @ 2006-07-06 5:41 ` Шенцев Алексей Владимирович 0 siblings, 0 replies; 11+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 5:41 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В сообщении от 5 июля 2006 20:08 Alexei Takaseev написал(a): > А если возможности выдачи H.323 железкам реальных адресов нет, то > вероятнее всего придется на роутере ставить нечто gnugk для > маршрутизации вызовов. Насчет видео не знаю, а вот для голосам пришлось > поступить именно так. Тогда, да. Я хотел пойти по данному пути, но сходу разобраться с gnugk не получилось, а с iptables сработало. У нас, по крайней мере, провайдеры для видеофонов выдают бесплатно белые ip-адреса. Свои затраты они возмещают с лёгкостью за счёт резко увеличившегося трафика. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-05 13:38 ` Andrii Dobrovol`s`kii 2006-07-05 13:58 ` Шенцев Алексей Владимирович @ 2006-07-06 4:48 ` Шенцев Алексей Владимирович 2006-07-06 9:44 ` Andrii Dobrovol`s`kii 1 sibling, 1 reply; 11+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 4:48 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В сообщении от 5 июля 2006 17:38 Andrii Dobrovol`s`kii написал(a): > Алексей, Ваше решение масштабируется на более чем один телефон? > Скажем если Вам нужно вызывать из мира десяток разных абонентов? Андрей, я думаю, что всё таки его можно масштабировать. Но при одном условии - необходим будет ещё один реальный интернетовский ip-адрес. А дальше всё так же, как я сделал - по образу и подобию. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-06 4:48 ` Шенцев Алексей Владимирович @ 2006-07-06 9:44 ` Andrii Dobrovol`s`kii 2006-07-06 9:48 ` Шенцев Алексей Владимирович 0 siblings, 1 reply; 11+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-07-06 9:44 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 1011 bytes --] Шенцев Алексей Владимирович пишет: > В сообщении от 5 июля 2006 17:38 Andrii Dobrovol`s`kii написал(a): >> Алексей, Ваше решение масштабируется на более чем один телефон? >> Скажем если Вам нужно вызывать из мира десяток разных абонентов? > Андрей, я думаю, что всё таки его можно масштабировать. Но при одном условии - > необходим будет ещё один реальный интернетовский ip-адрес. А дальше всё так > же, как я сделал - по образу и подобию. Не, ну при наличии неограниченного ресурса белых адресов, проблемы просто нет. :) SNAT+DNAT+по желанию защита от флуда. Это понятно. Проблема в отсутствии этого самого неограниченного ресурса... -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-06 9:44 ` Andrii Dobrovol`s`kii @ 2006-07-06 9:48 ` Шенцев Алексей Владимирович 2006-07-06 10:00 ` Rafael Malikov 0 siblings, 1 reply; 11+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 9:48 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В сообщении от 6 июля 2006 13:44 Andrii Dobrovol`s`kii написал(a): > Не, ну при наличии неограниченного ресурса белых адресов, проблемы > просто нет. :) SNAT+DNAT+по желанию защита от флуда. Это понятно. > Проблема в отсутствии этого самого неограниченного ресурса... Тогда так, как предложил Alexei Takaseev, через GateKeeper. По другому да же не знаю как ... :) -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-06 9:48 ` Шенцев Алексей Владимирович @ 2006-07-06 10:00 ` Rafael Malikov 2006-07-06 10:42 ` Шенцев Алексей Владимирович 0 siblings, 1 reply; 11+ messages in thread From: Rafael Malikov @ 2006-07-06 10:00 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Шенцев Алексей Владимирович пишет: >В сообщении от 6 июля 2006 13:44 Andrii Dobrovol`s`kii написал(a): > > >>Не, ну при наличии неограниченного ресурса белых адресов, проблемы >>просто нет. :) SNAT+DNAT+по желанию защита от флуда. Это понятно. >>Проблема в отсутствии этого самого неограниченного ресурса... >> >> >Тогда так, как предложил Alexei Takaseev, через GateKeeper. По другому да же >не знаю как ... :) > > Ну если видиодевайсы умеют юзать разные порты, имхо можно сделать развязку по портам. ;) -- Rafael Malikov, System administrator. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] Видеоконференция и iptables 2006-07-06 10:00 ` Rafael Malikov @ 2006-07-06 10:42 ` Шенцев Алексей Владимирович 0 siblings, 0 replies; 11+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 10:42 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В сообщении от 6 июля 2006 14:00 Rafael Malikov написал(a): > Ну если видиодевайсы умеют юзать разные порты, имхо можно сделать > развязку по портам. ;) Покажите пример. Мне это интересно. Но: 1) D-Link DVC-2000 понимает только ip-адрес абонента, свой ip-адрес и ip-адрес интернет-шлюза; 2) порты 389,522,1300,1718:1720,1503,11720,1731 - используются для вызова абонента для voip, порты 15329:15332,32700:32799, как я понял, назначаются динамически, хотя я тут могу и ошибится про динамическое назначение портов. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2006-07-06 10:42 UTC | newest] Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2006-07-05 12:18 [sisyphus] Видеоконференция и iptables Шенцев Алексей Владимирович 2006-07-05 13:38 ` Andrii Dobrovol`s`kii 2006-07-05 13:58 ` Шенцев Алексей Владимирович 2006-07-05 14:11 ` Andrii Dobrovol`s`kii 2006-07-05 16:08 ` Alexei Takaseev 2006-07-06 5:41 ` Шенцев Алексей Владимирович 2006-07-06 4:48 ` Шенцев Алексей Владимирович 2006-07-06 9:44 ` Andrii Dobrovol`s`kii 2006-07-06 9:48 ` Шенцев Алексей Владимирович 2006-07-06 10:00 ` Rafael Malikov 2006-07-06 10:42 ` Шенцев Алексей Владимирович
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git