Fran�ois Boisson a �crit :
Ben j'avais test� la simple translation de port et �a ne marchait pas.
Il me semblait que le protocole H323 commen�ait par une n�gociation sur
un num�ro de port puis l'ouverture de ce port en �coute.
Tous les appels passent par le 1720. C'est apres la negociation que le
flux est bascule sur deux ports (un en emission, l'autre en reception)
pour liberer le port 1720. Es tu sur d'avoir forwarder en meme temps que
le prerouting ?
justement, la machine "NAT�e" ouvre un port en r�ception d�cid�
dynamiquement et qui doit �tre en �coute sur la passerelle. Ce port l�,
qui doit �tre transf�r� sur la machine, ne peut �tre connu � l'avance ce
qui est le travail du module.
L'appel d'un client H323 arrive sur le firewall port 1720. Tu reroutes
ce port vers le 1720 du client H323. Celui ci communique avec l'appelant
et decides ensemble du port a utiliser. Ci dessous une adresse tres
interessante. (J'y ai aussi trouve ma reponse quant aux ports a
ouvrir/forwarder :-) Ceux que j'avais etais les bons).
http://www.gnomemeeting.org/index.php?rub=3&pos=0&faqpage=x266.html
Il �tait donc
n�cessaire que la passerelle "chope" ce
port au passage et effectue la translation de port (en clair que le
num�ro de port ne soit pas modifi� � l'issue du NAT). Le noyau
n�cessite pour cela un patch qui fonctionne tr�s bien chez moi.
Je l'avais aussi installe. Maintenant je ne l'ai plus.
Sans ce patch, on ne peut
m'appeler (que ce soit sous Netmeeting ou Gnomeeting).
Je viens de faire le test en coupant mon gatekeeper et m'etant les
regles definies ci dessus: ca marche, l'appel entrant est redirige vers
mon host H323 defini, et ce _sans_ le patch h323.
Est ce que le dialogue se fait? Si oui, je n'ai rien compris au protocole
et je voudrais bien savoir comment le noyau arrive � transf�rer un port
sans le connaitre � l'avance?
Bein oui (ceci dit je me suis arreter a la sonnerie). Mais vas voir
l'adresse ci dessus qui indique clairement que le patch H323 n'est *pas*
obligatoire.
Les serveurs ILS si
j'ai bien compris, font la translation email -> adresse IP et ne sont
donc d'aucune utilit� si l'IP ne r�pond pas.
Celui de seconix va plus loin puisqu'il teste l'IP d'origine du paquet.
La translation d'adresse e-mail ne sert a rien puisque NetMeeting ne
comporte pas l'adresse IP source. Cela marhe peut etre si le client
NetMeeting est *sur* la passerelle, mais surement pas s'il est derriere.
Je n'ai pas compris "NetMeeting ne comporte pas l'adresse IP source"?
Netmeeting �tablit bien une liaison entre 2 machines qui ne se connaissent
que par leur IP. Parce que lorsque la machine est NAT�e, celle ci est
celle de la passerelle, il faut justement que les protocoles de choix de
ports se fassent en "accord" avec la passerelle (pour qu'elle ouvre le bon
port et le transfert sur la machine NAT�e), c'est le r�le des modules
h323. seconix (que je ne connais pas) ne peut quand m�me pas exploit�e une
IP d'un LAN...
Les paquets de NetMeeting contiennent l'adresse privee et non celle de
la machine nat (par ex si ton client est 192.168.50.45 c'est cette
adresse qui sera dans le paquet). Si donc tu t'enregistres sur un
serveur ILS qui recupere l'adresse du paquet, il aura une adresse
privee! Pour contourner ce disfonctionnement (c'est donc un bug en
realite ;-)) de NetMeeting, le serveur ILS (celui de seconix en tous
cas) fait une requete prealable a l'enregistrement pour connaitre l'IP
reelle d'origine du paquet.
[...]
Ben si justement, je ne remet pas tes connaissances en cause, mais le peu
de ce que j'avais compris sur le H323 est incompatible avec ce que tu
affirmes alors j'essaye de comprendre (si �a ne t'ennuie pas :-))
Absolument pas. Plus on est de fous ...
--
: ______ ______ ______ ______ ______ __ [EMAIL PROTECTED]
: /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276
: / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276
: /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
