[fli4l] NAT timeout für udp und tcp
Christoph Schulz
fli4l at kristov.de
Mo Aug 22 21:57:43 CEST 2016
Hallo!
Am Mon, 22 Aug 2016 21:13:58 +0200 schrieb Erwin Lottermann:
> Hallo,
>
> habe jetzt bei mir den SIP Conntrack-Helper aktiviert.
>
> Allerdings zeigt mir
>
> conntrack -L -p udp --orig-port-src 5060
>
> ,dass die von der Fritzbox von Port 5060 ausgehenden
> SIP-UDP-Verbindungen immer noch ein Timeout von 180s haben.
> Ohne SIP-Ping von der Fritzbox ist auch die aktive Verbindung zu
> sipgate.de nach jeweils 180s weg.
>
> Muss man mehr machen als diesen Eintrag in der base.txt (fli4l 3.10.5)?
Ist dein Zähler zur iptables-Regel hochgegangen? Was zeigt
iptables -t raw -vnL PREROUTING
denn an? Steht in der HELPER:sip-Zeile vorne etwas anderes als "0"?
> PF_PREROUTING_CT_2='tmpl:sip any dynamic HELPER:sip'
Diese Regel wird vermutlich nicht greifen, denn der Flow geht ja nicht
zur externen Adresse des fli4ls (= "dynamic"), sondern zu deinem SIP-
Registrar. Besser wäre es, über die Quelle zu filtern:
PF_PREROUTING_CT_2='tmpl:sip @fritzbox:5060 any HELPER:sip'
Damit würdest du alle abgehenden Pakete von der FRITZ!Box, Quellport 5060
"erwischen". (Für @fritzbox kannst du natürlich die IP-Adresse einsetzen,
falls du keinen HOST_x-Eintrag für die FRITZ!Box hast.)
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L