22 Nov
2007
22 Nov
'07
5:56 p.m.
Hola,
/me fully agrees :)
Saludos
JesusR.
------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr(a)voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------
El Thursday 22 November 2007 16:13:37 Jesus Rodriguez
escribió:
Lo mejor es:
- Que tus UA usen un puerto de origen diferente al 5060
- Que tu proxy escuche en un puerto que NO sea el 5060
De esta forma podrás evitarte un montón de ALGs que sólo usan como
referencia el puerto de origen y/o destino para detectar que estás
pasando un paquete SIP y modificarlo... aunque hay otros que intentan
ser más listos todavía y miran el payload del UDP y a esos no los
engañas :-/
Exacto. Fuerza el keepalive desde la red (si
puedes detectar que el
UA
está detrás de NAT porque si un ALG hace bien su trabajo el nathelper
ni se entera) y como último extremo fuerzalo desde el UA.
Entonces ¿alguien puede explicar para qué demonios inventaron el ALG
para SIP
si se va a cargar las entrantes sí o sí?
Es que manda ******, si el router no mete las narices al menos nos
queda la
posibilidad de proxy RTP y keepalive por la evidente detección de
NAT en el
proxy.
Pero si el router se las da de listo y aplica ALG entonces nos
fastidia de
todas todas las entrantes !!! De una forma u
otra y mejor o peor el NAT actual es un sistema de
seguridad (me refiero a NAT simétrico). Cualquier administrador
tendrá
miedo de tener todos sus equipos con direccionamiento público y
accesible...
Pero al menos será más viable poner una regla para permitir el tráfico
entrante UDP en un rango de puertos y configurar los dispositivos
SIP de la
LAN para que usen ese intervalo como puertos RTP.
eso ya te implica políticas de seguridad,
restricciones
de acceso, firewalls, etc, etc
Y sobre todo: implica "saber" XD