Question technique protocole SIP & FW

[Rico]

Bonjour a tous.

j'avance un peu.
Suite a la mise ajour du kernel de notre FW (passé en 2.6.36.3), nous avons vu dans le kernel.log des lignes de ce genre :

Code:

Jan 18 11:30:08 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.171 DST=x.x.x.x LEN=1005 TOS=0x10 PREC=0x60 TTL=63 ID=4241 PROTO=UDP SPT=5060 DPT=5060 LEN=985
Jan 18 11:30:10 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.171 DST=x.x.x.x LEN=1005 TOS=0x10 PREC=0x60 TTL=63 ID=4243 PROTO=UDP SPT=5060 DPT=5060 LEN=985
Jan 18 11:36:40 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.164 DST=x.x.x.x LEN=1005 TOS=0x10 PREC=0x60 TTL=63 ID=52271 PROTO=UDP SPT=5060 DPT=5060 LEN=985
Jan 18 11:36:41 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.164 DST=x.x.x.x LEN=1005 TOS=0x10 PREC=0x60 TTL=63 ID=52286 PROTO=UDP SPT=5060 DPT=5060 LEN=985
Jan 18 11:36:42 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.164 DST=x.x.x.x4 LEN=1005 TOS=0x10 PREC=0x60 TTL=63 ID=52289 PROTO=UDP SPT=5060 DPT=5060 LEN=985
Jan 18 11:36:44 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.164 DST=x.x.x.x LEN=1005 TOS=0x10 PREC=0x60 TTL=63 ID=52291 PROTO=UDP SPT=5060 DPT=5060 LEN=985
Jan 18 11:38:24 sar-fw1 kernel: nf_ct_sip: dropping packetIN= OUT=eth1.98 SRC=10.205.29.164 DST=x.x.x.x LEN=1004 TOS=0x10 PREC=0x60 TTL=63 ID=57376 PROTO=UDP SPT=5060 DPT=5060 LEN=984

ou :
10.205.29.164 est l'adresse IP ed mon téléphone
x.x.x.x est l'adresse de mon ipbx.

TOUJOURS PAS DE NAT

Donc le firewall drop bien des paquets, mais nous n'arrivons pas a comprendre pourquoi.

Après recherches, nous avons augmenté certaines valeurs dans sysctl.conf :

Code:

net.ipv4.netfilter.ip_conntrack_max = 262144
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 28800
net.netfilter.nf_conntrack_expect_max = 4096

mais ça n'a toujours pas réglé le problème.

Est ce que quelqu'un à une idée ?
il est vrai que ce problème ne concerne plus du tout asterisk, mais j'alimente quand même, en me disant que quelqu'un aura peut-être le même problème que moi !

Rico

[jean]

salut
j'ai (preque) les mêmes logs quand je droppe volontairement des paquets via iptables. en regardant test logs, je vois en plus:
nf_ct_sip

un ptit google lance des références sur: netfilter, qui si j'ai bien lu freud, est cousin de iptables

a vue de nez, tu as netfilter d'installé, qui de temps en temps décide que ton SIP est pas bon... je te suggère de googler plus en détail nf_ct_sip pour comprendre un peu mieux (mais moi, j'en sais pas plus !), ou de chercher les logs de netfilter

fos !

J.

[Rico]

Salut,
j'ai déja googeulizé pas mal tout ça, et la j'arrive au bout, je ne trouve plus grand chose.

[jean]

stopper iptables ou netfilter n'est pas envisageable, je suppose ?

[ffossard]

stopper iptables ou netfilter n'est pas envisageable, je suppose ?

Je réponds à sa place, non

[Rico]

Je réponds à sa place, non

Je confirme, c'est notre firewall de tête de réseau....

[jean]

Pour ma culture générale, votre FW est donc une box linux ? c'est truc packagé, ou vous avez pris un linux et configuré en fw ?

Pour info, certains modems (netgear) ont des fonctions "SIP ALG", qui permettent de faciliter le NAT - en pratique, il convient de désactiver - peut être que ton FW fait ça aussi.

Sinon, comment se passe l'entrée des packets ? doivent ils être forcément en réponse à un packet emis / sortant depuis ton réseau ? dans ce cas, tu as un timer max à régler.

Note que dans tes réglages présentés:
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 28800

celui là est inefficace puisque tcp - il faudrait trouver son équivalent en udp.


Eric