[AsteriskBrasil] 2 Placas de rede precisa de NAT??

Deivyn Lytk deivyn em uol.com.br
Quarta Outubro 28 12:53:16 BRST 2009 

Blz Rodrigo.
o meu tb está bem simples.. só com o redirect mesmo e o echo 1 > /proc/sys/net/ipv4/ip_forward
fora o TOS.

Vou ver essa parada do HUB nao passou pela minha cabeça ainda isso nao..
Inté


From: Rodrigo Vian 
Sent: Wednesday, October 28, 2009 8:37 AM
To: asteriskbrasil em listas.asteriskbrasil.org 
Subject: Re: [AsteriskBrasil] 2 Placas de rede precisa de NAT??


Deivyn, bom dia... 

Não tem segredo...

Meu firewall é bem simples.... Veja que nem NAT eu tenho no meu servidor asterisk. Isso porque não tenho roteamento da net para minha rede interna.
no caso você teria que ter a regra:
-A POSTROUTING -s <IP_REDE_INTERNA> -o eth1 -j SNAT --to <IP_NET>
ou 
-A POSTROUTING -s <IP_REDE_INTERNA> -o eth1 -j MASQUERADE

e ativar o redirecionamento de pacotes:
echo 1 > /proc/sys/net/ipv4/ip_forward

Minhas regras iptables
===================================================================
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -m state --state NEW -j ACCEPT
-A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 5060:5068 -j ACCEPT
-A INPUT -p udp -m udp --sport 4569 -j ACCEPT
-A INPUT -p udp -m udp --sport 10000:20000 -j ACCEPT 
-A INPUT -p udp -m udp --dport 4569 -m state --state NEW -j ACCEPT 
-A INPUT -p udp -m udp --dport 10000:20000 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 4445 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -m state --state INVALID -j DROP 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
COMMIT

*nat
:PREROUTING ACCEPT [5:763]
:POSTROUTING ACCEPT [5:404]
:OUTPUT ACCEPT [5:404]
COMMIT

*mangle
:PREROUTING ACCEPT [364:28291]
:INPUT ACCEPT [364:28291]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [274:41880]
:POSTROUTING ACCEPT [272:41040]
-A INPUT -p udp --dport 4569 -j DSCP --set-dscp-class ef
-A INPUT -p udp --dport 5060 -j DSCP --set-dscp-class cs3
-A INPUT -p udp --dport 10000:20000 -j DSCP --set-dscp-class ef
-A OUTPUT -p udp --dport 10000:20000 -j DSCP --set-dscp-class ef
-A OUTPUT -p udp --dport 5060 -j DSCP --set-dscp-class cs3
-A OUTPUT -p udp --sport 4569 -j DSCP --set-dscp-class ef
COMMIT
===================================================================

eu trocaria o TOS por por DSCP... Pode ver também que não tenho regras TOS para PREROUTING, isso porque meu asterisk está como roteador de net....

Sobre a IRQ, pode afetar sim.. Se conseguir, set no setup da maquina e desative o que não estiver usando...

Mas além disso, talvez 2 coisas possam te ajudar....
1 - Como o Eliel e o Daviramos falaram também... Troca o seu HUB da Encore por um Switch (Não precisa ser um 3com (mas seria bom), mas tem uns da planet e d-link que são bem em conta). Creio que essa troca já deva minimizar bastante seu problema.
2 - Faria um CBQ para limitar o tráfego de sua rede de dados e sua rede de voip

Abraços!


Deivyn Lytk escreveu: 
  Opa Rodrigo Beleza??
  Entao.. minha estrutura está assim.

  Link > eth0  Asterisk  eth1 >  Hub Encore de 16 portas (ficam ligados os ATAs pegando o DHCP direto do Asterisk) - também sai um cabo desse HUB e vai para meu roteador (mikrotik) no qual fornece internet para minha rede interna.. Separando os PCs da onde ficam os ATAs

  Essa placa mãe q estou utilizando só tem 2 slot PCI (pois essas novas nao estao vindo mais com bastante PCI)
  1 eu estou usando um FXO Genério e o outro a placa de rede off-board (eth0) e tem uma rede on-board (eth1) que atende meu ATAs e internet interna (será que IRQ tb prejudica a esse ponto??)

  - Teria como vc postar suas regras para adicionar a nova placa de rede?? e tb a q vc usou para compartilhar a conexao?

  E no Asterisk utilizo um único tratamento dos pacotes em TOS, segue a regra:

  #TOS PARA VOIP

  iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 5060:5061 -j TOS --set-tos 16
  iptables -t mangle -A PREROUTING -i eth0 -p tcp --sport 5060:5061 -j TOS --set-tos 16

  iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 5060:5061 -j TOS --set-tos 16
  iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 5060:5061 -j TOS --set-tos 16

  iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 10000:20000 -j TOS --set-tos 16
  iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 10000:20000 -j TOS --set-tos 16

  iptables -t mangle -A POSTROUTING -o eth0 -p udp --dport 10000:20000 -j TOS --set-tos 16 
  iptables -t mangle -A POSTROUTING -i eth0 -p udp --sport 10000:20000 -j TOS --set-tos 16

  ****************************
  Respostas:

  Algumas perguntas:
  - Você tem switch ? gerenciáveis? HUB desaconselho....
  Tenho os chamados de Switch Hub Encore 16 Portas

  - Qual o tráfego de sua rede? tem QoS ?
  É mínimo uns 800 Mega por dia, as vezes quando temos q mandar imagens para gráfica gera um Upload de uns 1.5Giga, mas para isso temos um Virtua de 12 Mega com 800k de Upload
  Utilizo somente o TOS no asterisk, e no meu roteador interno q alimento minha rede, controlo a banda para uns 200k de Up e 6 mega de Down
  Minhas ligações simultâneas ficam em torno de 7

  - Qual codec utilizado?
  Nos ramais externos utilizo o codec G729 e nos ATAs internos utilizo o G711u

  - De ata para ata picota? cai?
  Pelo que percebi não.
  *******************************




  From: Rodrigo Vian 
  Sent: Tuesday, October 27, 2009 4:46 PM
  To: asteriskbrasil em listas.asteriskbrasil.org 
  Subject: Re: [AsteriskBrasil] 2 Placas de rede precisa de NAT??


  Caro amigo, tenho 3 servidores neste seu esquema, 1 placa para link provedor e outra para a rede interna.
  Não há nenhuma configuração especial.
  Creio que o problema está na sua rede interna...
  Algumas perguntas:
  - Você tem switch ? gerenciáveis? HUB desaconselho....
  - Qual o tráfego de sua rede? tem QoS ?
  - Qual codec utilizado?
  - De ata para ata picota? cai?

  Solução: isole em uma rede (com switch) seu servidor, um ata e o gateway e faça testes...

  NAT não faz diferença nessa estrutura. NAT apenas serve para traduzir endereços de rede.. NAT = Network Address Translator

  Abraços!




  Deivyn Lytk escreveu: 
    Boa Tarde Pessoal..

    Estou tendo uns problemas de qualidade nas ligações e quedas com minhas ligações.. 

    Utilizo o Elastix 1.4 com 2 placas de rede (On-board e uma off-board)
    A Off-board é a minha eth0 onde chega meu link (Virtua) e a on board eu coloquei meu hub e nele estão ligados meus ATAs LinkSys e meu FXO Externo da dlink.

    Porem minhas ligações quando saem por este FXO (que ficam minhas interfaces celulares), estao com qualidade ruim na ligação e tendo quedas tb.

    e as dos ATAS tb apresentam problemas.

    Para instalar essa segunda placa de rede.. eu fiz todo o procedimento normal de linux para compartilhar internet no CENTOS usando o IPTABLES encontrado pelo google.

    Eu teria que configurar o NAT no elastix tb?? mesmo a placa de rede estar na mesma máquina??
    Alguem poderia postar algum exemplo de cenário para utilizar o asterisk com o Link direto.. e os ramais internos em outra placa de distribuindo a internet tb para meus computadores internos??

    Desde já agradeço .. qualquer ajuda..

    Abraços..
    Deivyn
----------------------------------------------------------------------------

_______________________________________________
http://www.voipmania.com.br
Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
Promoção por tempo limitado!
Acesse agora http://promo.voipmania.com.br

_______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
  Rodrigo S. Vian
  Analista TI
  Porttal Tecnologia
  Solu��es em TI & Telecom
  http://www.porttaltecnologia.com.br
  phone:55+19+3542-9667

  |-- Antes de Imprimir, pense em sua responsabilidade com o Meio Ambiente --|



------------------------------------------------------------------------------

  _______________________________________________
  http://www.voipmania.com.br
  Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
  Promoção por tempo limitado!
  Acesse agora http://promo.voipmania.com.br

  _______________________________________________
  Lista de discussões AsteriskBrasil.org
  AsteriskBrasil em listas.asteriskbrasil.org
  http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
------------------------------------------------------------------------------
_______________________________________________
http://www.voipmania.com.br
Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
Promoção por tempo limitado!
Acesse agora http://promo.voipmania.com.br

_______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
Rodrigo S. Vian
Analista TI
Porttal Tecnologia
Solu��es em TI & Telecom
http://www.porttaltecnologia.com.br
phone:55+19+3542-9667

|-- Antes de Imprimir, pense em sua responsabilidade com o Meio Ambiente --|



--------------------------------------------------------------------------------



_______________________________________________
http://www.voipmania.com.br
Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
Promoção por tempo limitado!
Acesse agora http://promo.voipmania.com.br

_______________________________________________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20091028/41f82f7b/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil