[Pluto-help] Iptables e Netmeeting

[Tom aka 'Dido']

Salve a tutti!
In questi giorni, vista la mole di messaggi (anche fuori lista) che mi sono 
arrivati circa la configurazione di iptables, per poter usare Netmeeting, 
mi sono messo a spippolare e mi pare di avere risolto.
Molto probabilmente ci farò un piccolo howto (se interessa), nel frattempo 
vi riassumo i miei risultati:

Internet ------|Linux-box|------|Client Win98|

La linux-box si collega a internet tramite modem ADSL usb, e fa da NAT per 
la rete interna.
Bisogna scaricarsi i sorgenti del kernel, i sorgenti di Netfilter e 
Patch-o-matich, patchare il kernel, avviare P-O-M e selezionare il supporto 
per H323. Poi si procede alla ricompilazione del kernel (consiglio di 
abilitare gli helper per le connessioni come moduli). Si disinstalla una 
eventuale versione precedente di iptables, poi si compila la nuova versione 
di iptables e la si installa.

Le porte da aprire, secondo le fonti Microsoft, sono le seguenti:

Port 		Function 			Outbound Connection

389		Internet Locator Service (ILS) 	TCP
522		User Location Service		TCP
1503		T.120				TCP
1720		H.323 call setup			TCP
1731		Audio call control		TCP
Dynamic	H.323 call control		TCP
Dynamic	H.323 streaming		Real-Time Transfer Protocol (RTP) over UDP

Ora, una volta confgurato il Masquerading, e settato il fw per permettere 
le suddette porte e la stateful inspection, ho provato e ci si riesce a 
connettere sia ad un server ILS, che ad un altro utente "pescato" 
direttamente da quel server. Ho anche verificato che la chat e il video 
funzionano, non ho provato il transfer file.

I problemi nascono quando mi interessa fare il contrario, cioè ricevere una 
connessione da un utente "esterno". Questo è logico: sul mio firewall linux 
non c'è un "proxy netmeeting", per cui un eventuale client esterno che 
prova a chattare con me cliccando il mio nome presente sul server ILS, in 
realtà cerca di connettersi al firewall, e quindi non combina nulla. E' 
necessario impostare il redirect della porta 1720 verso la stessa porta del 
mio client sulla lan. Questo non l'ho ancora provato, ma dovrei farlo in 
serata.

Note (ovvie):
- ovviamente, posso ricevere chiamate con un solo client per volta. Infatti 
il redirect potrò farlo solo su un ip privato...
- probabilmente, potrei usare più client interni alla lan, ma a patto di 
connettermi a server ils differenti, e effettuare sempre chiamate e mai 
riceverne (una volta instaurata la conversazione, dovrebbe pensarci il 
connection tracking a gestirmi i vari client interni).

Questa ultima prova non riesco a farla, causa problemi del mio mini-lab a 
casa (ho solo 1 pc con Win98), per cui se qualcuno volesse aiutarmi nei 
test, ne sarei molto contento!

Fatemi sapere se questa cosa vi può risultare utile....

Dido