Freesco, NND, CDN, EOS

Witam,

Mam problem z rozmowami głosowymi przez gadugadu /w tlenie ich nie ma /.
W sieci działa m.in. squid "transparentny", blokada kazy. Jak blokada jest wyłączona to rozmowa głosowa działa, a jak włącze blokadę to nie działa. Blokada oparta o opis Kipy i blokuje porty od 1000 do 5000.

Forward jest włączony we freesco, i wygląda tak:
t,5610,10.1.1.96/5610
u,5610,10.1.1.96/5610
... itd.

Czy jest możliwa rozmowa, kiedy blokada działa

Musisz wyłączyć z blokady te porty, które forwardujesz, bo będą przycinane i z rozmowy nici.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Hmm
No ale przeciez ja specjalnie dlatego robie fprwad portow z zakresu 5606 do 5618. A blokada dziala od 1000 do 5000.

Kawałek us_blok załączam. Może ktoś na coś wpadnie:
ipfwadm -I $par reject -P tcp -S $1 -D any/0 6346
ipfwadm -I $par reject -P udp -S $1 -D any/0 6346
ipfwadm -I $par reject -P tcp -S $1 -D any/0 6699
ipfwadm -I $par reject -P udp -S $1 -D any/0 6699
ipfwadm -I $par reject -S $1 -D 217.116.226.0/24
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1000:5000
ipfwadm -I $par reject -P udp -S $1 -D 0/0 1000:5000
ipfwadm -I $par reject -P tcp -S 0/0 1214
ipfwadm -I $par reject -P udp -S 0/0 1214
ipfwadm -O $par reject -W eth0 -P tcp -S 0/0 -D $1 1214
ipfwadm -O $par reject -W eth0 -P udp -S 0/0 -D $1 1214
}

NET0=$NETWORK0/$NETMASK0

# podstawowa siec
if [ "$NETWORK0" ]; then
blokuj $NET0 off
if [ "$1" = on ]; then
blokuj $NET0 on
fi
fi

Właśnie tak się zastanawiam o co tutaj biega

Musisz odszukać porty z zakresu 1000 - 5000, które są potrzebne dla gada aby mógł rozmawiać i je wyłączyć z blokady.
Mogą to być też inne porty które zablokowałeś, popróbuj wyłączyć niektóre z nich z blokowania, może załapie, albo najlepiej kolejno je włączaj do blokowania, aż się przyblokuje i to analizuj.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

No znalazłem 1550 . Blokada włączona, a GG działa /idzie głos/.
Ale
Ja mogę kogoś wywołać do rozmowy, a mnie nie mogą /osoba z którą chce rozmawiać ma włączone "Połączenie bezpośrednie"/.

A może ktoś miał podobny problem i udało się go rozwiązać
W GG mam wpisane tak:

Lokalny port TCP: 5610
[v] Forwardowanie
Zewnętrzny adres IP: 80.49.1.xxx
Zewnętrzny port TCP: 5610

Przekieruj 1550 i taki ustaw w gg
i dodaj regule dla 1550

Ten po drugiej stronie moze miec firewall i puszczony w nim tylko 1550 a zablokowany 5610 i Cie nie widzi

Ty do niego wychodzisz na port 1550
a on do ciebie na 5610.
sprawdz
ipportfw -L
czy na pewno jest forward.

> ipportfw -L
Jest forward

Prot Local Addr/Port > Remote Addr/Port
UDP 80.49.1.208/5618 > 10.1.1.136/5618
UDP 80.49.1.208/5616 > 10.1.1.134/5616
UDP 80.49.1.208/5614 > 10.1.1.121/5614
UDP 80.49.1.208/5612 > 10.1.1.100/5612
UDP 80.49.1.208/5610 > 10.1.1.96/5610
UDP 80.49.1.208/5608 > 10.1.1.90/5608
UDP 80.49.1.208/5606 > 10.1.1.86/5606
TCP 80.49.1.208/5618 > 10.1.1.136/5618
TCP 80.49.1.208/5616 > 10.1.1.134/5616
TCP 80.49.1.208/5614 > 10.1.1.121/5614
TCP 80.49.1.208/5612 > 10.1.1.100/5612
TCP 80.49.1.208/5610 > 10.1.1.96/5610
TCP 80.49.1.208/5608 > 10.1.1.90/5608
TCP 80.49.1.208/5606 > 10.1.1.86/5606

Osoba z którą nawiązuje połączenie nie ma firewalla.
I może wywołać rozmowę głosową ze mną, kiedy blokada /kazy/ jest wyłączona.

Nie bardzo rozumiem jak mam przekierować port 1550 na kilka klientów w sieci i jak to ustawić w GG /jest tam Lokalny port TCP i Zenętrzny port TCP/.
Może trochę jaśniej /najlepiej przykładzik . Jestem lama z linuxa, a wszystko co zrobiłem z Freesco to dzięki informacjom z forum i strony/.

No dobra czytam właśnie stronkę http://zciech.w.interia.pl/

Musisz zatem szukać dalej, co blokuje wywołanie rozmowy, może jakiś pobliski temu co znalazłeś.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Nie no zaczynam tracić cierpliwość do tego shita jakim jest GG.

Zrobiłem w końcu tak jak pisał ZCiech:

1. Zrobiłem przekierowanie /pewnie bez sensu/ takie:
ipportfw -A -t 80.49.1.208/1550 -R 10.1.1.96/1550
ipportfw -A -u 80.49.1.208/1550 -R 10.1.1.96/1550
i oprócz tych dwóch jeszcze te:
ipportfw -A -t 80.49.1.208/5610 -R 10.1.1.96/5610
ipportfw -A -u 80.49.1.208/5610 -R 10.1.1.96/5610
nie było nic.

2. Przekierowanie portu 1550 na 5610
ipportfw -A -t 80.49.1.208/1550 -R 10.1.1.96/5610
ipportfw -A -u 80.49.1.208/1550 -R 10.1.1.96/5610
i ustawiłem w GG port lokalny na 5610, a zewnętrzny na 1550 i nic /osoba nie mogła wywołać mnie do rozmowy głosowej/.

3. Usunąłem dla portu 5610 przekierowanie i wprowadziłem dla 1550
ipportfw -A -t 80.49.1.208/1550 -R 10.1.1.96/1550
ipportfw -A -u 80.49.1.208/1550 -R 10.1.1.96/1550
Ustawiłem w GG porty TCP na 1550 /dla lokalnego i zewnętrznego/ i guma, też nic.

-
Może coś źle robię, nie wiem
Za każdym razem kasowałem poprzednie przekierowania.

Oczywiscie mialem na mysli port 1550 i dla nastepnych 1551 itd...
Ale skoro na odblokowanym dziala to:
do podejrzanych reguł w blok dopisz
-o
np.
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1000:5000 -o
ipfwadm -I $par reject -P udp -S $1 -D 0/0 1000:5000 -o

i podczas póby nawiazania polaczenia w logu na 3 konsoli (alt F3 )
zobaczysz jakie pakiety z jakich adresow i portow sa odrzucane. wpiszesz regule przepuszczajece te pakiety i znowu sprawdz w ten sposob znajdziesz porty, ktore musisz przepuscic.
inna sprawa jest, jakich portow uzywaja twoi korespondenci (standartowo 1550) i ten port powinien byc przepuszczany.

prawdopodobnie chodzi o linie:
#ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1000:5000

postaw przed nia plotek i sprawdz czy mozna sie polaczyc.
po zmianie konieczny jest restart rc_masq, wpisujesz:

rc_masq

i restart blokady, ale to zalatwia chyba rc_user (w godz. blokowania)

Bez tego "krzaka" na początku wywoływanie mnie do rozmowy głosowej działa bez problemu /tak jakby nie było blokady /.
Ale niestety kaza zaczyna działać.

wpisz zamiast:

tak:

Po kilku dniach testowania stwierdzam, że GG jest do d...

Wpisałem tak:
ipfwadm -I $par reject -P tcp -S $1 -D any/0 6346
ipfwadm -I $par reject -P udp -S $1 -D any/0 6346
ipfwadm -I $par reject -P tcp -S $1 -D any/0 6699
ipfwadm -I $par reject -P udp -S $1 -D any/0 6699
ipfwadm -I $par reject -S $1 -D 217.116.226.0/24
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1000:1549 -o
ipfwadm -I $par reject -P udp -S $1 -D 0/0 1000:1549 -o
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1560:5000 -o
ipfwadm -I $par reject -P udp -S $1 -D 0/0 1560:5000 -o
ipfwadm -I $par reject -P tcp -S 0/0 1214
ipfwadm -I $par reject -P udp -S 0/0 1214
ipfwadm -O $par reject -W eth0 -P tcp -S 0/0 -D $1 1214
ipfwadm -O $par reject -W eth0 -P udp -S 0/0 -D $1 1214

Łączyłem się z użytkownikami /mieli zaznaczoną opcję Połączenie bezpośrednie/ i śledziłem jednocześnie na konsoli 3 przez Putty /za pomocą komendy tail -f /var/log/log / logi.
Było wiele różnych odrzucanych portów m.in.: 3616, 3613, 4594, 1488.

Czy to aby nie ma działać tak, że dla konkretnego rozmówcy mam odblokować port na jakim się łączy ze mną np. Monia na 3615, a Leszczu na 1488.
Bo już nie wiem o co w tym wszystkim chodzi

Dokładnie. Jesli Monia ma port GG 3615 to twoj firewal musi przepuszczac polaczenia na ten port bo twoje GG laczy sie z kompem Moni na port 3615 jej natomiast laczy sie z twoim na port 5610 i tu potrzebujesz przekierowania.
(nie wiem dokładnie czy jednoczesnie obie drogi czy w zaleźnosci od tego kto inicjuje połaczenie zestawiana jest jedna z tych dróg)

jeszcze jedno, twoje reguły nie okreslają interfejsu (-W eth0) (-W ppp0) więc porty sa zablokowane od strony sieci lokalnej i od strony internetu.

Przeanalizuj droge pakietów i ich adresy/porty zródła i celu a zrozumiesz dlaczego tak sie dzieje.