Re: [inet-admins] h323 proxy

[ark@eltex.ru]

-----BEGIN PGP SIGNED MESSAGE-----

nuqneH,

"Victor L. Belov" <scream@zenon.net> said :

> Привет,
> 
> я так понимаю речь идет об ip inspect? так для этого
> вестимо нужно чтобы внутрях прямые адреса были...

"вестимо". huh.

> А так
> это работает - в Pluscom'овском офисе например...
> Для фиревалов на *nix есть другое решение -
> http://www.openh323.org/ - там есть ссылка на австралийскую
> софтверную фирму, которая затеяла openh323. у них есть продукт,
> который позволяет именно проксировать, а не интеллектуально
> фильтровать, как ты предлагаешь, h323 звонки.

Equival? Продукт бинарный, аудит безопасности тольком не проводился - 
ставить такое на production firewall нельзя :(

Лучше бы кто взял OpenH323 да сделал прокси, доступную в сорсах.

> Кстати еще используется порт 1718 и 1719 для сигналинга
> с gatekeeper'ом. А сумашедшего в этом протоколе ничего нет.
> Взяли q931 и запихали в tcp. аудио/video естественно пустили
> по rtp/udp. 

Да уж, естественно аж ахуй :( Протокола, реализация котрого требует
столь же безумного гемора я сходу не припомню.
Неужели нельзя было сделать разумную инкапсуляцию без передачи ip адресов
в потоке данных и двунаправленных хендшейков :-/? Эти люди вообще 
представляли, что в интернете есть что-то кроме открытых публичных сетей
где можно слать что угодно и куда угодно? И ведь не в 80-е ж годы писалась
спецификация! Руки повырывать уродам :(((

Одно слово - телефонисты :(( Такое впечатление, что у них мозги на реле :(
А в реализациях протокола еще buffer overruns бывают, до кучи. Йэхх :(

> Кстати - там (в h323) еще и Multicast бывает,
> для групповых звонков. Так что все не отпроксируешь =-))

Ну, мультикаст можно инкапсулировать и проксировать. Если все разработать
с умом. Которым тут и не пахло.

> 
> ---
> Victor L. Belov
> ZENON N.S.P.
> +7 095 250 4629
> 
> ----- Original Message -----
> From: "Basil Dolmatov" <dol@east.ru>
> To: <inet-admins@info.east.ru>
> Sent: Monday, August 14, 2000 4:35 PM
> Subject: RE: [inet-admins] h323 proxy
> 
> 
> > yawn... о том и речь...
> >
> > Что открывать не диапазон в 16 тысяч портов, а реально
> > используемый порт для данного соединения умеет пока только PIX Firewall.
> >
> >
> > --------------------------------------------------------
> > Basil (Vasily) Dolmatov, CCIE #5347, CCNP-Security, CCDA
> > LightCom Corp. http://www.lightcom.ru
> >
> > > -----Original Message-----
> > > From: inet-admins@info.east.ru [mailto:inet-admins@info.east.ru]On
> > > Behalf Of Rustam Povarov
> > > Sent: Monday, August 14, 2000 4:22 PM
> > > To: inet-admins@info.east.ru
> > > Subject: RE: [inet-admins] h323 proxy
> > >
> > >
> > > On Mon, 14 Aug 2000, Basil Dolmatov wrote:
> > >
> > > h232 использует для передачи udp с диапазоном портов 16384-32768, а для
> > > установления соединения - tcp 1720 (h.225 call signaling) и tcp 1367
> > > (тоже из h.225). Я у себя прикрываю порт 1720 - без него voip сессия не
> > > устанавливается.
> > >
> > > Как voip proxy умеет работать 26xx и 36xx со специальным IOS (Gatekeeper
> +
> > > Call Manager) - но сам его не щупал.
> > >
> > > > Cisco PIX Firewall умеет...
> > > >
> > > > Больше, AFAIK - никто...
> > > >
> > > >
> > > > --------------------------------------------------------
> > > > Basil (Vasily) Dolmatov, CCIE #5347, CCNP-Security, CCDA
> > > > LightCom Corp. http://www.lightcom.ru
> > > >
> > > > > -----Original Message-----
> > > > > From: inet-admins@info.east.ru [mailto:inet-admins@info.east.ru]On
> > > > > Behalf Of Eugeny V. Kuzakov
> > > > > Sent: Monday, August 14, 2000 10:56 AM
> > > > > To: inet-admins@info.east.ru
> > > > > Subject: [inet-admins] h323 proxy
> > > > >
> > > > >
> > > > >
> > > > > hi*&
> > > > >
> > > > > ppl, кто-нибудь с h323 общался?
> > > > > Как мне показалось, он не сильно то firewall-friendly.
> > > > > У меня работает keep state. Можно ли как-то, не открывая дыр,
> > > > > работать с h323?
> > > > > Евгений.
                                     _     _  _  _  _      _  _
 {::} {::} {::}  CU in Hell          _| o |_ | | _|| |   / _||_|   |_ |_ |_
 (##) (##) (##)        /Arkan#iD    |_  o  _||_| _||_| /   _|  | o |_||_||_|
 [||] [||] [||]            Do i believe in Bible? Hell,man,i've seen one!

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i

iQCVAwUBOZpRL6H/mIJW9LeBAQHM5AP6Ax0z/ZRfx2eNWfmKuMMDLiwmJYluW5/+
obBDFRefoVG8P2XCtENrEmlXe7U2xa4fSv/MPfA/GG+KO7zg+q/IwEpuGAoMANTi
BtwMLSv/0qgK3CTmbZhnucPTCFQgUr3l2K2MvfqsdAR0BEJM42nB7/ISAaL00NOq
i5Uw6vP10eU=
=ZNVT
-----END PGP SIGNATURE-----
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html