Asterisk Release 11 NAT 新設定涉及Security 問題

bubblestar

從新裝的Asterisk 11 裡，我發現 /var/log/asterisk/messages 有保安提示，因為我為方便起見，copy 了 Asterisk 1.8 的 sip.conf 到 Asterisk 11 裡直接使用，原來新建議是 nat 不要再放在個別 peer/user 設定裡，現在應改為放在Global settings 入面如下:

sip.conf

[general]     ; global settings
..........
..........
nat=force_rport,comedia   ; 相當於Asterisk 1.8 或之前版本的 nat=yes，唔改就boot 到你頭痕
..........
..........


放在這裡的目的，就是避免attacker 那麼容易scan 到及attack。

改了後， /var/log/asterisk/messages，就再沒有warning message 彈出了，為了保安也好，為了不想再見warning message 也好，大家也不妨改 NAT 的設定吧!

alang

非常好的新發現。

只是如果想同時有兩個以上的 sip peer/friend 而 nat=yes, 還有 nat=no 時該怎辦呢?

bubblestar

從 https://wiki.asterisk.org/wiki/display/AST/New+in+11 chan_sip 有關 NAT 一段的敍述，nat = no 的用法跟以前一樣。

•Two new NAT options, auto_force_rport and auto_comedia, have been added which set the force_rport and comedia options automatically if Asterisk detects that an incoming SIP request crossed a NAT after being sent by the remote endpoint.
•NAT settings are now a combinable list of options. The equivalent of the deprecated nat=yes is nat=force_rport,comedia. nat=no behaves as before.


你所提到的是一個很好的問題，http://www.voip-info.org/wiki/view/Asterisk+sip+nat 的解說跟前面wiki.asterisk.org 有少許出入，若我沒有理解錯的話，它更加貼近你所說的用法。   nat=force_rport,comedia   應可對應兩種情況了。

Asterisk 1.8:
The 'nat' option has now been been changed to have yes, no, force_rport, and comedia as valid values. Setting it to yes forces RFC 3581 behavior and enables symmetric RTP support. Setting it to no only enables RFC 3581 behavior if the remote side requests it and disables symmetric RTP support. Setting it to force_rport forces RFC 3581 behavior and disables symmetric RTP support. Setting it to comedia enables RFC 3581 behavior if the remote side requests it and enables symmetric RTP support.