Ivanovo Linux Users Group - Not logged in
Forum Help Search Login
Previous Next Up Topic Администрирование / Общее администрирование / IP телефон, patch-o-matic, kernel, iptables (10474 hits)
- By Maestro Date 17.02.05 12:24
привет всем(я надеюсь что форум живой)
ситуевина следующая
есть IP телефон Cisco 7940 установленый в некоем офисе города N принадлежащий телефонной сети некоей Московской компании
в сетевых настройках телефона прописываю его собственный локальный IP и внутренний IP шлюза(Linux RedHat 9.0 ядро 2.4.20-8)
посредством iptables делается маскард адресов
iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.254.0/24 -o ppp0
или
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-sourse 195.195.195.195(внешний интерфейс)
(как вы поняли соединение с провайдером по PPPoE
сразу скажу что дать телефону внешний IP не получается из за отсутствия у телефона поддержки PPPoE
а провайдер адресов без логинов не дает по каким то своим техническим причинам)
соединеие с телефонным сервером проходит звонки осуществляются и туда и оттуда но голоса не слышно ни там ни здесь
в результате обсуждения этой проблемы на www.linux.ru было решено поставить h323_conntrack из patch-o-matic
для этого был собран резервный шлюз на fedora core 3(ядро 2.6.9)
поставил патч этот патч и еще pptp_бла бла
пересобрал ядро(делал это в первый раз) выключил все лишнее вроде scsi,irda,wireless,sound,parallelport,usb,raid,ipv6 и т.д
включил опции h323 netmeeting protocol support и pptp protocol support
скомпилировал и загрузил ядро
теперь правило для маскарда не выполняется говорит invalid argument(хотя на старом ядре все работает)
есстественно есть предположение что вместе с ядром нужно пересобрать iptables, но
make KERNEL_DIR=/usr/src/linux(тут лежат исходники нового ядра)
выдает множество синтаксических ошибок
пробывал загружать новые модули на старом ядре посредством depmod(insmod и modprobe выдют ошибку)
они делают вид что загружаются но результата это не дает(голоса все равно не слышно)
да и lsmod не показывает что они загружены....

в общем если кто разбирается или сталкивался с подобными вещами
направте в нужную сторону пжлста
спасибо за внимание
Parent - By LOE (Site/forum admin) Date 17.02.05 13:14
Немного каша получилась :-)

По порядку
ядро
читай доку на PoM - там расписано как ставить. Надо иметь исходники ядра и для некоторых патчей - исходники iptables.
Если патч патчит iptables - значит надо будет и его перекомпилировать.
При наложении патчей ошибок быть не должно. Если есть - значит "чего-то не хватает".

Потом конфигурирование ядра.
Если опыта в этом нет - лучше попросить кого-то другого. Видимо (раз iptables ругается на команды), не отметил некоторые параметры для фильтрации. Соответственно ядро перестало "узнавать" команды от iptables.

Новые модули грузить на старом ядре не следует - всё равно не подключатся
Возможен только вариант, когда версии ядра и скомпилированных модулей совпадают, и то не во всех случаях.

Если вызов проходит, а голос нет - смотреть tcpdump'ом что происходит с пакетами.
Или все-же не взведен нужный маскарадинг, или голос идет другим по другим портам-протоколам (на которые маскарадинг не взведен)

Более конкретных советов дать не представляется возможным - надо знать все тонкости.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Maestro Date 17.02.05 14:17
значит несколько вопросов(простите чайника)
1. "читай доку на PoM - там расписано как ставить" -  РоМ это Patch-o-Matic? читал
   ставлю так:
   ядро(2.6.9) в /usr/src/linux
   iptables(1.2.11) в /usr/src/iptables
   is patch-o-matic-ng-20050208
./runme extra
пропускаю все патчи нахожу h323_conntrack говорю "y"
трудностей на этом этапе не возникает.. ошибок нет

2. как узнать патчит выбраный патч iptables или нет
потому как у меня проблемы именно со сборкой iptables(чего ему может не хватать?)

3. tcpdump я запускал и один "гуру" посмотрев сказал что не "стартует RTCP по UDP"
    которое входит в состав h323_conntrack из patch-o-matic
............
про ядро отдельный разговор нарыл в доке по iptables что должно быть включено
будем проверять
Parent - By LOE (Site/forum admin) Date 17.02.05 16:41
2. в каталоге с патчем читай файл info - там сказаны требования.
h323-conntrack-nat iptables не патчит
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Maestro Date 18.02.05 11:37
в общем ничего не выходит
раз iptables не патчится значит его можно и не трогать
пересобрал снова ядро
постарался отключать только то что явно с сетью и iptables не связано
проверил по документации опции ядра которые которые должны быть включены для iptables
ВСЕ включено
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 195.195.195.195
все равно ругается "Invalid argument"

подскажите где я неправ

вот фрагмент /usr/src/linux/.config

#
# Networking support
#
CONFIG_NET=y

#
# Networking options
#
CONFIG_PACKET=y
CONFIG_PACKET_MMAP=y
CONFIG_NETLINK_DEV=y
CONFIG_UNIX=y
CONFIG_NET_KEY=m
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
CONFIG_IP_ADVANCED_ROUTER=y
CONFIG_IP_MULTIPLE_TABLES=y
CONFIG_IP_ROUTE_FWMARK=y
CONFIG_IP_ROUTE_MULTIPATH=y
CONFIG_IP_ROUTE_VERBOSE=y
# CONFIG_IP_PNP is not set
CONFIG_NET_IPIP=m
CONFIG_NET_IPGRE=m
CONFIG_NET_IPGRE_BROADCAST=y
CONFIG_IP_MROUTE=y
CONFIG_IP_PIMSM_V1=y
CONFIG_IP_PIMSM_V2=y
# CONFIG_ARPD is not set
CONFIG_SYN_COOKIES=y
CONFIG_INET_AH=m
CONFIG_INET_ESP=m
CONFIG_INET_IPCOMP=m
CONFIG_INET_TUNNEL=m

#
# IP: Virtual Server Configuration
#
CONFIG_IP_VS=m
# CONFIG_IP_VS_DEBUG is not set
CONFIG_IP_VS_TAB_BITS=12

#
# IPVS transport protocol load balancing support
#
CONFIG_IP_VS_PROTO_TCP=y
CONFIG_IP_VS_PROTO_UDP=y
CONFIG_IP_VS_PROTO_ESP=y
CONFIG_IP_VS_PROTO_AH=y

#
# IPVS scheduler
#
CONFIG_IP_VS_RR=m
CONFIG_IP_VS_WRR=m
CONFIG_IP_VS_LC=m
CONFIG_IP_VS_WLC=m
CONFIG_IP_VS_LBLC=m
CONFIG_IP_VS_LBLCR=m
CONFIG_IP_VS_DH=m
CONFIG_IP_VS_SH=m
CONFIG_IP_VS_SED=m
CONFIG_IP_VS_NQ=m

#
# IPVS application helper
#
CONFIG_IP_VS_FTP=m
# CONFIG_IPV6 is not set
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_BRIDGE_NETFILTER=y

#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CT_PROTO_SCTP=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_IPRANGE=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_PHYSDEV=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_MATCH_REALM=m
CONFIG_IP_NF_MATCH_SCTP=m
CONFIG_IP_NF_MATCH_COMMENT=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_TARGET_NETMAP=m
CONFIG_IP_NF_TARGET_SAME=m
CONFIG_IP_NF_NAT_LOCAL=y
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_MARK=m
CONFIG_IP_NF_TARGET_CLASSIFY=m
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_TARGET_NOTRACK=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
CONFIG_IP_NF_NAT_H323=m
CONFIG_IP_NF_H323=m
CONFIG_IP_NF_CT_PROTO_GRE=m
CONFIG_IP_NF_PPTP=m
CONFIG_IP_NF_NAT_PPTP=m
CONFIG_IP_NF_NAT_PROTO_GRE=m

#
# Bridge: Netfilter Configuration
#
CONFIG_BRIDGE_NF_EBTABLES=m
CONFIG_BRIDGE_EBT_BROUTE=m
CONFIG_BRIDGE_EBT_T_FILTER=m
CONFIG_BRIDGE_EBT_T_NAT=m
CONFIG_BRIDGE_EBT_802_3=m
CONFIG_BRIDGE_EBT_AMONG=m
CONFIG_BRIDGE_EBT_ARP=m
CONFIG_BRIDGE_EBT_IP=m
CONFIG_BRIDGE_EBT_LIMIT=m
CONFIG_BRIDGE_EBT_MARK=m
CONFIG_BRIDGE_EBT_PKTTYPE=m
CONFIG_BRIDGE_EBT_STP=m
CONFIG_BRIDGE_EBT_VLAN=m
CONFIG_BRIDGE_EBT_ARPREPLY=m
CONFIG_BRIDGE_EBT_DNAT=m
CONFIG_BRIDGE_EBT_MARK_T=m
CONFIG_BRIDGE_EBT_REDIRECT=m
CONFIG_BRIDGE_EBT_SNAT=m
CONFIG_BRIDGE_EBT_LOG=m
CONFIG_XFRM=y
CONFIG_XFRM_USER=y
Parent - By LOE (Site/forum admin) Date 18.02.05 13:12
Предположу, что выключена автозагрузка модулей
Загрузи модули для NAT'а вручную
(что говорит lsmod ?)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Maestro Date 18.02.05 13:35
Module                  Size  Used by
iptable_filter          3200  1
iptable_nat            26308  0
ip_conntrack           46004  1 iptable_nat
ip_tables              18048  2 iptable_filter,iptable_nat
nls_utf8                2432  1
smbfs                  70904  2
autofs4                28292  0
i2c_dev                11904  0
i2c_core               24320  1 i2c_dev
sunrpc                184164  1
8139too                29056  0
mii                     5504  1 8139too
floppy                 66864  0
ext3                  120680  2
jbd                    89752  1 ext3
Parent - By LOE (Site/forum admin) Date 18.02.05 16:52
Значит и iptables должно пройти.
Ну не может не пройти при наличии всех модулей.
Попробуй использовать дистрибутивное ядро - как правило там всё скомпилировано модулями и есть в наличии.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Maestro Date 04.03.05 06:55
хм
а если патч не ставить
а ядро пересобрать то iptables правило принимает
значит с патчем что то не так?
или ему чего то не хватает...
Parent - By LOE (Site/forum admin) Date 04.03.05 07:32
Не могу сказать - я же не вижу что там у вас в системе творится, не телепат я ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By Maestro Date 04.03.05 09:10
ну если есть время и желание помоч
то я могу любую информацию предоставить
вплоть до доступа по ssh
Previous Next Up Topic Администрирование / Общее администрирование / IP телефон, patch-o-matic, kernel, iptables (10474 hits)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.113s with 10 database queries.