Cómo funcionan SIP-ALG y Session helper en FortiGate

Bienvenidos ​👏​, por si no me conocéis soy César Sánchez y hoy vamos a aprender sobre: 👇​
Cómo funcionan SIP-ALG y Session helper en FortiGate

Por defecto, FortiGate utiliza SIP ALG para procesar el tráfico SIP, pero algunos proveedores de SIP recomiendan desactivar SIP ALG en el cortafuegos.

Basado en proxy – modo SIP ALG por defecto
Basado en el núcleo-ayudante – Ayudante de sesión SIP

A continuación se exponen los puntos que hay que entender:

Si se selecciona el modo basado en proxy, que es el modo por defecto, no importa si el ayudante de sesión está configurado, el modo ALG prevalece y el ayudante de sesión no hace nada.

Si se configura el modo basado en kernel-helper, significa que el tráfico depende de session helper para asistir el tráfico VOIP.

Una vez que el ayudante de sesión número 13 es eliminado, y no cambia default-voip-alg-mode proxy-based entonces básicamente el tráfico está confiando en la política IPv4. En otras palabras, ALG no está configurado y el ayudante de sesión tampoco va a entrar en acción desde que el número 13 es eliminado.

Si por ejemplo bajo el perfil VOIP, SIP está deshabilitado pero default-voip-alg-mode está configurado como basado en proxy, entonces, en ese caso, el ayudante de sesión SIP será utilizado y no el ALG por defecto.

Si la política del cortafuegos ipv4 tiene aplicado el perfil de VoIP, el SIP-ALG será reemplazado por el ayudante de sesión, incluso si el ajuste del sistema está configurado con ‘set default-voip-alg-mode Kernel-helper-based‘.

Para que el ayudante de sesión funcione, asegúrese de que el perfil VOIP no está activado en la política ipv4 del cortafuegos.

Artículos relacionados  Configurar y editar el enrutamiento de salida local (Source-IP) utilizando la GUI para el tráfico auto-originado

Ejemplo:

– Para el tráfico inspeccionado por un ayudante, el flujo de depuración muestra:

ejecutar helper-ftp(dir=original)

O

ejecutar helper-ftp(dir=reply)

– Para el tráfico que coincide con una sesión esperada, el flujo de depuración muestra:

Encuentra una sesión EXP, id 00016f90

– Depuración SIP en tiempo real:

# diagnosticar la aplicación de depuración im 31
# diagnosticar aplicación de depuración sip <nivel de depuración> <—– Por ejemplo 31(1+2) según la siguiente captura de pantalla.
# diagnostic debug enable

Atul_S_0-1652249530401.png

​☑️ Para acabar, felicitarte por haber leído hasta el final de este artículo. Espero que haya servido de ayuda y que te veamos por aquí de nuevo.
Si no puedes llegar a la solución a tu duda usa la search bar o contacta con nosotros en los comentarios.
¡Un placer!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *