% *** MISSON Didier wrote: *** % % Firewall/MASQ avec support H.323 fonctionne bien ici: appel-sortant et % appel-entrant. Un peu de pr�cision: % % - appel-sortant : 2 hosts (ou plus) dans le m�me LAN peuvent "inviter" % les correspondants ext�rieurs diff�rents simultann�ment. % % - appel-entrant : un correspondant ext�rieur peut "inviter" un % SEUL host dans le LAN via port-forwarding. % Je vais essayer installer un proxy-h323 pour g�rer multi % appel-entrant pour plusieurs hosts dans LANS. % % % Didier> tr�s int�ressant. % Tu peux nous en dire plus sur ce FireWall? % C'est quoi? Un PC Linux? Une distri sp�cifique? % Et bas�e sur kernel 2.4 et IP Table? %
C'est un PC-Linux (Pentium-100MHz, 16 MB de RAM) bas� sur GNU/Linux Debian-Woody dont un kernel 2.4.18 et iptables-v1.2.6a Didier> je dois avoir un PC Pentium 90 MHz avec 16MB qui traine... ou une MB Cyrix 133 avec 32 MB Il faut aussi un petit HD je suppose ? Quelle taille? J'ai un ancien 50MB, sinon un 400MB oui, je pensais bien que plus de choses seraient vraisemblablement possible avec IP Table et le kernel 2.4, que avec IPChain et 2.2 ... Oui, pq pas Debian... elle me semble id�al pour ce genre d'application. Mais je ne la connais pas encore. Sur une machine un peu plus puissance, j'ai utilis� une source propre du kernel 2.4.18 et puis download les patches de Newnat (celui j'utilise est Newnat-13) via cvs sur le serveur de netfilter.samba.org : http://netfilter.samba.org/downloads.html#cvs Et puis faire patching la source du kernel avec netfilter-cvs. Une remarque ici: n'include pas les patches qui demandent une nouvelle compilation du binaire iptables (exemple tftp: pas tr�s gentille ce patche). Merci � Beno�t Joseph qui m'a aider de d�boguer iptables avec les modules nat_h323*.o . Didier> pas de recompilation de IP Table? ok... encore + facile alors ;-) et compiler le kernel � la Debian (ou avec la m�thode normal mais faire attention de ne pas effacer les anciens modules apr�s un "make modules-install") : make menuconfig make-kpkg --revision=h323.01 kernel-image Apr�s une compilation r�ussie (oui j'ai rat� plusieurs fois) je tranfert le package kernel-image-h323.01*.deb vers le petit PC-Linux-Firewall , l'installe et puis appliquer les r�gles firewall pour iptables. Didier> c'est nouveau tout �a pour moi... mais je devrais bien y arriver. Mais franchement, �a va attendre qques semaines, pas le temps. Tu peux trouver le petit script (attach� dans cet email) contenant les simples r�gles pour un LAN maison. Quelques remarques: - l'ordre de chargement des modules est important ! - le nat-helper reconnait une communication H.323 et il ouvre dynamiquement les ports dynamiques UDP (uniquement pour le client Netmeeting, tandis que pour Gnomemeeting, c'est assez propre avec UDP/5000-5001 ) et une fois que la session est finie le helper ferme ces portes dynamiques. Donc, pas besoin d'ouvrir en permanant les portes non-privil�g� (UDP/1024 --> 65535). Didier> oui, c'�tait le reproche dans bcp de cas, que �norm�ment de ports restaient ouvert ;-) % Pour le moment, j'ai CoyoteLinux avec un kernel 2.2. % Il y a un module H323, mais qui ne fait pas tout �a je crois... Oui, il existe un patche h323 pour un kernel 2.2.16 ou plus mais on a besoin d'utiliser ipchains et ipmasqadm. Un peu long pour les r�gles de firewall avec ces 2 outils, pour moi. Amicalement, -- --------------------------- Truong <[EMAIL PROTECTED]> --------------------------- Didier> merci beaucoup! D�s que j'aurai un peu de temps, je reconfigure un petit PC Pentium en FireWall, J'installe Debian (� d�couvrir :p) ) Les acc�s PPPoE Et j'essaye de patcher le kernel avec NewNAT, compil, et j'essaye �a. �a m'�tonnerait que je m'en sorte sans aide... mais la ML est l�, on verra :p) Didier
