El Martes, 23 de Octubre de 2007, samuel escribió:
Puede aún ser "peor": si el UA no tiene
configurado outbound proxy y
utiliza directamente IPs, la llamada se cursará sin que tu proxy vea un
sólo paquete...así es cómo funciona SIP. Para evitarlo debes proporcionar a
tus usuarios una razón para que pasen por tu proxy, generalmente
solventando problemas de NAT, servicios extras,...
Sí, pero que no usen mi proxy como Outbound proxy en el fondo solucionaría mi
problema en cuanto a que si están detrás de NAT no les podría contactar (sólo
permiten entrantes desde la IP del proxy por puro tema de NAT y/o firewall).
El "tema" aquí es que los usuarios raramente
saben qué IP tienen los
dispositivos y aunque lo sepan es más cómodo no indicar nombre de dominio.
Aparte que si tus usuarios utilizan conversores PAP
raramente podrán especificar dominio en el Req-URI...
Qué problema hay que los usuarios se llamen entre sí????
Insisto en que son dominios diferentes albergados en el mismo proxy, pero
independientes. Quiero la misma seguridad si llama un externo a uno de mis
dominios que si se llaman entre ellos.
Por ejemplo, puedo arrancar un SIPp y dejar medio seco a cualquier tfno IP si
tengo acceso directo a él (sin pasar por el proxy, donde tengo instalado el
módulo pike).
En el caso de llamada entre dominios locales (pero independientes, insisto) no
me hace gracia que si por lo que sea, el dom_B decide impedir entrantes desde
dom_A que un listillo de dom_A pueda llamar directamente a la IP de "Contact"
de un tfno de dom_B saltándose lapolítica de seguridad entre dominios de mi
proxy.
Por ello, y después de casi soñar con ello, he decidido que voy a enviar las
llamadas outbound (por ejemplo las que irían directamente a IP's en vez de a
mis dominios) a otro OpenSer. De esta forma, aunque dicho OpenSer trate de
rutarla no podrá entrar a través de NAT o de reglas de firewall pues no es el
proxy donde está registrado el llamado.
Saludos.
--
Iñaki Baz Castillo