[Ekiga-list] Pb firewall (iptables): No sound

[Ray Ishido <ray ishido gmail com>]

Hi,

My problem is probably very simple but I don't find the solution.
Since I installed my firewall (Iptables) I don't have sound with ekiga,
even with all ekiga ports open. Note that It was also unsuccessful  to
work with STUNserver.
here the firewall configuration:
thanks for your help!

#!/sbin/runscript
IPTABLES=/sbin/iptables
IPTABLESSAVE=/sbin/iptables-save
IPTABLESRESTORE=/sbin/iptables-restore
FIREWALL=/etc/firewall.rules
IINTERFACE=eth0
WINTERFACE=wlan0

opts="${opts} showstatus panic save restore showoptions rules"

#depend() {
#  need net
#}

rules() {
  stop
  ebegin "Paramétrer les règles internes"

  einfo "On ignore tout par défaut"
#  $IPTABLES -A FORWARD -j LOG --log-prefix "FOWD"
#  $IPTABLES -A INPUT   -j LOG --log-prefix "INPUT"
#  $IPTABLES -A OUTPUT  -j LOG --log-prefix "OUTPUT"
  $IPTABLES -P FORWARD DROP
  $IPTABLES -P INPUT   DROP
  $IPTABLES -P OUTPUT  DROP

  # Règles par default
  einfo "Créer les chaînes d'état"
  $IPTABLES -N allowed-connection
  $IPTABLES -F allowed-connection
  $IPTABLES -A allowed-connection -m state --state ESTABLISHED,RELATED
-j ACCEPT
  $IPTABLES -A allowed-connection -i $IINTERFACE -m limit -j LOG
--log-prefix \
      "Bad packet from ${IINTERFACE}:"
  $IPTABLES -A allowed-connection -i $WINTERFACE -m limit -j LOG
--log-prefix \
      "Bad packet from ${WINTERFACE}:"
  $IPTABLES -A allowed-connection -j DROP

  # Trafic ICMP
  einfo "Créer la chaîne icmp"
  $IPTABLES -N icmp_allowed
  $IPTABLES -F icmp_allowed
  $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
      time-exceeded -j ACCEPT
  $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
      destination-unreachable -j ACCEPT
  $IPTABLES -A icmp_allowed -p icmp -j LOG --log-prefix "Bad ICMP traffic:"
  $IPTABLES -A icmp_allowed -p icmp -j DROP

  # Trafic entrant
  einfo "Créer la chaîne de trafic ssh entrant"
  $IPTABLES -N allow-ssh-traffic-in
  $IPTABLES -F allow-ssh-traffic-in
  # Protection anti Flood
  $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
      ALL RST --dport ssh -j ACCEPT
  $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
      ALL FIN --dport ssh -j ACCEPT
  $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
      ALL SYN --dport ssh -j ACCEPT
  $IPTABLES -A allow-ssh-traffic-in -p tcp --dport ssh -j ACCEPT

  # Trafic sortant
  einfo "Créer la chaîne de trafic SSH sortant"
  $IPTABLES -N allow-ssh-traffic-out
  $IPTABLES -F allow-ssh-traffic-out
  $IPTABLES -A allow-ssh-traffic-out -p tcp --dport ssh -j ACCEPT

  einfo "Créer la chaîne de trafic DNS sortant"
  $IPTABLES -N allow-dns-traffic-out
  $IPTABLES -F allow-dns-traffic-out
  $IPTABLES -A allow-dns-traffic-out -p udp --dport domain \
      -j ACCEPT
  $IPTABLES -A allow-dns-traffic-out -p udp --dport domain \
     -j ACCEPT

  einfo "Créer la chaîne de trafic HTTP/HTTPS sortant"
  $IPTABLES -N allow-www-traffic-out
  $IPTABLES -F allow-www-traffic-out
  $IPTABLES -A allow-www-traffic-out -p tcp --dport www -j ACCEPT
  $IPTABLES -A allow-www-traffic-out -p tcp --dport https -j ACCEPT
  $IPTABLES -A allow-www-traffic-out -p tcp --dport 8090 -j ACCEPT


  einfo "Crée les chaînes de trafic MAIL"
  $IPTABLES -N allow-email-traffic-reception
  $IPTABLES -F allow-email-traffic-reception
  $IPTABLES -A allow-email-traffic-reception -p tcp --dport 995 -j ACCEPT
  $IPTABLES -A allow-email-traffic-reception -p tcp --dport 110 -j ACCEPT
  $IPTABLES -N allow-email-traffic-envoie
  $IPTABLES -F allow-email-traffic-envoie
  $IPTABLES -A allow-email-traffic-envoie -p tcp --dport 465 -j ACCEPT
  $IPTABLES -A allow-email-traffic-envoie -p tcp --dport 25 -j ACCEPT
  $IPTABLES -A allow-email-traffic-envoie -p tcp --dport 2525 -j ACCEPT



  einfo "Crée les chaînes de trfic EKIGA"
  $IPTABLES -N allow-ekiga-traffic-reception
  $IPTABLES -F allow-ekiga-traffic-reception
  $IPTABLES -A allow-ekiga-traffic-reception -p udp --dport 3478 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-reception -p udp --dport 3479 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-reception -p tcp --dport 1720 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-reception -p udp --dport 5000:5100 -j
ACCEPT
  $IPTABLES -A allow-ekiga-traffic-reception -p tcp --dport 30000:30010
-j ACCEPT
  $IPTABLES -N allow-ekiga-traffic-envoie
  $IPTABLES -F allow-ekiga-traffic-envoie
  $IPTABLES -A allow-ekiga-traffic-envoie -p udp --dport 3478 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-envoie -p udp --dport 3479 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-envoie -p tcp --dport 1720 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-envoie -p udp --dport 5000:5100 -j ACCEPT
  $IPTABLES -A allow-ekiga-traffic-envoie -p tcp --dport 30000:30010 -j
ACCEPT


  # Détecter les scanneurs de ports.
  einfo "Créer la chaîne de détection de portscan"
  $IPTABLES -N check-flags
  $IPTABLES -F check-flags
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit \
      --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit \
      5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \
      -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix
"XMAS-PSH:"
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j
DROP
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit \
      --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
  $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
  $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit \
      --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
  $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit \
      --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
  $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

  # Applique et ajoute les chaînes invalides.
  einfo "Appliquer les chaînes a INPUT"
  $IPTABLES -A INPUT -m state --state INVALID -j DROP
  $IPTABLES -A INPUT -p icmp -j icmp_allowed
  $IPTABLES -A INPUT -j check-flags
  $IPTABLES -A INPUT -i lo -j ACCEPT
  $IPTABLES -A INPUT -j allow-ssh-traffic-in
  $IPTABLES -A INPUT -j allow-ekiga-traffic-reception
  $IPTABLES -A INPUT -j allowed-connection


  einfo "Appliquer les chaînes au FORWARD"
  $IPTABLES -A FORWARD -m state --state INVALID -j DROP
  $IPTABLES -A FORWARD -p icmp -j icmp_allowed
  $IPTABLES -A FORWARD -j check-flags
  $IPTABLES -A FORWARD -o lo -j ACCEPT
  $IPTABLES -A FORWARD -j allow-ssh-traffic-in
  $IPTABLES -A FORWARD -j allow-www-traffic-out
  $IPTABLES -A FORWARD -j allowed-connection

  einfo "Appliquer les chaînes à l'OUTPUT"
  $IPTABLES -A OUTPUT -m state --state INVALID -j DROP
  $IPTABLES -A OUTPUT -p icmp -j icmp_allowed
  $IPTABLES -A OUTPUT -j check-flags
  $IPTABLES -A OUTPUT -o lo -j ACCEPT
  $IPTABLES -A OUTPUT -j allow-ssh-traffic-out
  $IPTABLES -A OUTPUT -j allow-dns-traffic-out
  $IPTABLES -A OUTPUT -j allow-www-traffic-out
  $IPTABLES -A OUTPUT -j allow-email-traffic-envoie
  $IPTABLES -A OUTPUT -j allow-ekiga-traffic-envoie
  $IPTABLES -A OUTPUT -j allowed-connection

#  # Autoriser les clients à router via le NAT (« Network Address
Translation »).
#  $IPTABLES -t nat -A POSTROUTING -o $OINTERFACE -j MASQUERADE
  eend $?
}

start() {
  ebegin "Démarrage du pare-feu"
  if [ -e "${FIREWALL}" ]; then
    restore
  else
    einfo "${FIREWALL} n'existe pas. Utilisation des règles par defaut."
    rules
  fi
  eend $?
}

stop() {
  ebegin "Arrêt du pare-feu"
  $IPTABLES -F
  $IPTABLES -t nat -F
  $IPTABLES -X
  $IPTABLES -P FORWARD ACCEPT
  $IPTABLES -P INPUT   ACCEPT
  $IPTABLES -P OUTPUT  ACCEPT
  eend $?
}

showstatus() {
  ebegin "Statut"
  $IPTABLES -L -n -v --line-numbers
  einfo "Statut NAT"
  $IPTABLES -L -n -v --line-numbers -t nat
  eend $?
}

panic() {
  ebegin "Mise en place des règles de panique"
  $IPTABLES -F
  $IPTABLES -X
  $IPTABLES -t nat -F
  $IPTABLES -P FORWARD DROP
  $IPTABLES -P INPUT   DROP
  $IPTABLES -P OUTPUT  DROP
  $IPTABLES -A INPUT -i lo -j ACCEPT
  $IPTABLES -A OUTPUT -o lo -j ACCEPT
  eend $?
}

save() {
  ebegin "Enregistrement des règles de pare-feu"
  $IPTABLESSAVE > $FIREWALL
  eend $?
}

restore() {
  ebegin "Rétablissement des règles précédentes"
  $IPTABLESRESTORE < $FIREWALL
  eend $?
}

restart() {
  svc_stop; svc_start
}

showoptions() {
  echo "Usage: $0 {start|save|restore|panic|stop|restart|showstatus}"
  echo "start)      Restaure les paramètres s'ils existent, sinon force
les règles."
  echo "stop)       Efface toutes les règles et autorise tout accès."
  echo "rules)      Force les paramètres des nouvelles règles."
  echo "save)       Sauve les paramètres dans ${FIREWALL}."
  echo "restore)    Récupère les paramètres depuis ${FIREWALL}."
  echo "showstatus) Affiche le statut."
}



-- 

-= G3NT00 P0W3RED!!!! =-


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.4 (GNU/Linux)
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=DSsR
-----END PGP PUBLIC KEY BLOCK-----