Podrias mirar si la IP destino a la que se dirige el mensaje (justo antes del t_relay en la ruta outbound) es alguna de las que tiene algun usuario registrado en el openser.... <br><br><br>sam.<br><br><div><span class="gmail_quote">
2007/10/25, Iñaki Baz Castillo <<a href="mailto:ibc@in.ilimit.es">ibc@in.ilimit.es</a>>:</span><blockquote class="gmail_quote" style="margin-top: 0; margin-right: 0; margin-bottom: 0; margin-left: 0; margin-left: 0.80ex; border-left-color: #cccccc; border-left-width: 1px; border-left-style: solid; padding-left: 1ex">
El Thursday 25 October 2007 11:34:15 Raúl Alexis Betancor Santana escribió:<br><br>> > No entiendo porqué hablas ahora de diálogos en curso, no entiendo qué<br>> > tiene que ver, yo hablo de un INVITE inicial pero que no va a @domB sino
<br>> > a @IP_contact_B (por lo que se ruta como Outbound) y en definitiva llega<br>> > al usuario B ya que dicho usuario permite llamadas (nat pinging tras<br>> > REGISTER) desde el proxy.<br>><br>> Umm, error de concepto, tu OpenSer no tiene porqué usar los mismos datos de
<br>> contacto que tiene del register para hacer esta llamada Outbound, y sino<br>> usa los mimos el Invite saliente hacia B se estampará contra el NAT de B<br><br>No entiendo, yo mismo hice la prueba y la vulnerabilidad existe:
<br><br>- Desde userA@domA llamo a userB@domB.<br>- Me fijo en el Contact que envía el userB (que ha sido corregido por OpenSer<br>con la IP pública y puerto por la que sale nateado).<br><br>Si yo más tarde llamo directamente a esa IP del contact (IP pública) mi
<br>OpenSer la identifica como outbound ($rd != dominio local) y la ruta<br>directamente, es decir, la ruta a la IP pública nateada del userB, y como es<br>el OpenSer quien lo envía atraviesa el NAT y llega al userB.<br><br>
Insito en que todo esto lo tengo exaustivamente comprobado. Me puedes llamar<br>paranoico (y acertarás) pero lo que describo insisto en que es real.<br><br><br>> > De ahí que la solución que veo es la de rutar las llamadas outbound a
<br>> > otro proxy y así ya no se pueden "colar" aprovechando el natpinging.<br>><br>> Ahora mismo no tengo claro como .. pero estoy seguro de que no te hace<br>> falta otro proxy para esto.<br><br>
Si mi OpenSer reenvia las llamadas outbound a otro proxy2 entonces cuando<br>dicho proxy2 encamine la llamada a la IP del Contact de userB se pegará el<br>leñazo con el NAT ya que sl router NAT no conoce conoexiones salientes desde
<br>userB a proxy2.<br><br><br>Saludos y gracias de nuevo.<br><br>--<br>Iñaki Baz Castillo<br><a href="mailto:ibc@in.ilimit.es">ibc@in.ilimit.es</a><br><br>_______________________________________________<br>Users-es mailing list
<br><a href="mailto:Users-es@openser.org">Users-es@openser.org</a><br><a href="http://openser.org/cgi-bin/mailman/listinfo/users-es">http://openser.org/cgi-bin/mailman/listinfo/users-es</a><br></blockquote></div><br>