[OpenSER-Users-ES] ¡¡ El "outbound" se carga toda la seguridad !!

Iñaki Baz Castillo ibc at aliax.net
Tue Oct 23 10:42:20 CEST 2007 

El Martes, 23 de Octubre de 2007, samuel escribió:
> Puede aún ser "peor": si el UA no tiene configurado outbound proxy y
> utiliza directamente IPs, la llamada se cursará sin que tu proxy vea un
> sólo paquete...así es cómo funciona SIP. Para evitarlo debes proporcionar a
> tus usuarios una razón para que pasen por tu proxy, generalmente
> solventando problemas de NAT, servicios extras,...

Sí, pero que no usen mi proxy como Outbound proxy en el fondo solucionaría mi 
problema en cuanto a que si están detrás de NAT no les podría contactar (sólo 
permiten entrantes desde la IP del proxy por puro tema de NAT y/o firewall).


> El "tema" aquí es que los usuarios raramente saben qué IP tienen los
> dispositivos y aunque lo sepan es más cómodo no indicar nombre de dominio.
> Aparte que si tus usuarios utilizan conversores PAP
> raramente podrán especificar dominio en el Req-URI...
>
> Qué problema hay que los usuarios se llamen entre sí????

Insisto en que son dominios diferentes albergados en el mismo proxy, pero 
independientes. Quiero la misma seguridad si llama un externo a uno de mis 
dominios que si se llaman entre ellos. 
Por ejemplo, puedo arrancar un SIPp y dejar medio seco a cualquier tfno IP si 
tengo acceso directo a él (sin pasar por el proxy, donde tengo instalado el 
módulo pike).

En el caso de llamada entre dominios locales (pero independientes, insisto) no 
me hace gracia que si por lo que sea, el dom_B decide impedir entrantes desde 
dom_A que un listillo de dom_A pueda llamar directamente a la IP de "Contact" 
de un tfno de dom_B saltándose lapolítica de seguridad entre dominios de mi 
proxy.

Por ello, y después de casi soñar con ello, he decidido que voy a enviar las 
llamadas outbound (por ejemplo las que irían directamente a IP's en vez de a 
mis dominios) a otro OpenSer. De esta forma, aunque dicho OpenSer trate de 
rutarla no podrá entrar a través de NAT o de reglas de firewall pues no es el 
proxy donde está registrado el llamado.

Saludos.


-- 
Iñaki Baz Castillo

More information about the Users-es mailing list