[OpenSER-Users-ES] [OT] Consulta sobre ALG: ¿sólo vale para salientes?

[Jesus Rodriguez]

Hola,


> El Thursday 22 November 2007 16:13:37 Jesus Rodriguez escribió:
>> Exacto. Fuerza el keepalive desde la red (si puedes detectar que el  
>> UA
>> está detrás de NAT porque si un ALG hace bien su trabajo el nathelper
>> ni se entera) y como último extremo fuerzalo desde el UA.
>
> Entonces ¿alguien puede explicar para qué demonios inventaron el ALG  
> para SIP
> si se va a cargar las entrantes sí o sí?
>
> Es que manda ******, si el router no mete las narices al menos nos  
> queda la
> posibilidad de proxy RTP y keepalive por la evidente detección de  
> NAT en el
> proxy.
> Pero si el router se las da de listo y aplica ALG entonces nos  
> fastidia de
> todas todas las entrantes !!!


Lo mejor es:

- Que tus UA usen un puerto de origen diferente al 5060

- Que tu proxy escuche en un puerto que NO sea el 5060


De esta forma podrás evitarte un montón de ALGs que sólo usan como  
referencia el puerto de origen y/o destino para detectar que estás  
pasando un paquete SIP y modificarlo... aunque hay otros que intentan  
ser más listos todavía y miran el payload del UDP y a esos no los  
engañas :-/




>> De una forma u otra y mejor o peor el NAT actual es un sistema de
>> seguridad (me refiero a NAT simétrico). Cualquier administrador  
>> tendrá
>> miedo de tener todos sus equipos con direccionamiento público y
>> accesible...
>
> Pero al menos será más viable poner una regla para permitir el tráfico
> entrante UDP en un rango de puertos y configurar los dispositivos  
> SIP de la
> LAN para que usen ese intervalo como puertos RTP.
>
>
>> eso ya te implica políticas de seguridad, restricciones
>> de acceso, firewalls, etc, etc
>
> Y sobre todo: implica "saber" XD


/me fully agrees :)


Saludos
JesusR.

------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------