[OpenSER-Users-ES] ¡¡ El "outbound" se carga toda la seguridad !!
Iñaki Baz Castillo
ibc at aliax.net
Tue Oct 23 10:42:20 CEST 2007
El Martes, 23 de Octubre de 2007, samuel escribió:
> Puede aún ser "peor": si el UA no tiene configurado outbound proxy y
> utiliza directamente IPs, la llamada se cursará sin que tu proxy vea un
> sólo paquete...así es cómo funciona SIP. Para evitarlo debes proporcionar a
> tus usuarios una razón para que pasen por tu proxy, generalmente
> solventando problemas de NAT, servicios extras,...
Sí, pero que no usen mi proxy como Outbound proxy en el fondo solucionaría mi
problema en cuanto a que si están detrás de NAT no les podría contactar (sólo
permiten entrantes desde la IP del proxy por puro tema de NAT y/o firewall).
> El "tema" aquí es que los usuarios raramente saben qué IP tienen los
> dispositivos y aunque lo sepan es más cómodo no indicar nombre de dominio.
> Aparte que si tus usuarios utilizan conversores PAP
> raramente podrán especificar dominio en el Req-URI...
>
> Qué problema hay que los usuarios se llamen entre sí????
Insisto en que son dominios diferentes albergados en el mismo proxy, pero
independientes. Quiero la misma seguridad si llama un externo a uno de mis
dominios que si se llaman entre ellos.
Por ejemplo, puedo arrancar un SIPp y dejar medio seco a cualquier tfno IP si
tengo acceso directo a él (sin pasar por el proxy, donde tengo instalado el
módulo pike).
En el caso de llamada entre dominios locales (pero independientes, insisto) no
me hace gracia que si por lo que sea, el dom_B decide impedir entrantes desde
dom_A que un listillo de dom_A pueda llamar directamente a la IP de "Contact"
de un tfno de dom_B saltándose lapolítica de seguridad entre dominios de mi
proxy.
Por ello, y después de casi soñar con ello, he decidido que voy a enviar las
llamadas outbound (por ejemplo las que irían directamente a IP's en vez de a
mis dominios) a otro OpenSer. De esta forma, aunque dicho OpenSer trate de
rutarla no podrá entrar a través de NAT o de reglas de firewall pues no es el
proxy donde está registrado el llamado.
Saludos.
--
Iñaki Baz Castillo
More information about the Users-es
mailing list