> David Ponzone a écrit : > La synthèse de nos réponses, c’était plutôt; désactive l’ALG sur le Cisco, > parce que ça a jamais rendu service à personne :)
Même si c'est vrai dans la plupart des cas, il y a un élément dans la réponse d'Antoine qui est important: > Antoine Durant a écrit : > Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je > vais rien toucher sur le Cisco... Si c'est un réseau de prod, ne touche pas avant de l'avoir simulé en lab. Si c'est pas en panne, pourquoi réparer ? Chaque fois que tu touches le réseau de prod même pour un "petit détail", tu ouvres la boîte de Pandore à un effet de bord, les pires étant ceux que tu ne détecte pas tout de suite. L'ALG, c'était un mal nécessaire dans 2 cas : - Les protocoles conçus avant NAT et qui ne se sont pas (ou pas bien) adaptés. Exemple : FTP. L'adresse IP est incluse dans le paquet, rendant l'usage d'un ALG nécessaire. Même si certaines évolutions (comme PASV) ont rendu la traversée de NAT et des pare-feu plus facile, il faut garder l'ALG. - Les protocoles conçus après NAT et mal conçus. Exemple : SIP. Alors que la généralisation de NAT était déjà bien en cours, SIP a été conçu pour ne pas traverser NAT facilement, ce qui a donné naissance aux ALGs SIP. Je mets "aux" à la place de "à", car il y en a plusieurs différents et aucun ne réagit pareil. Comme finalement les gens ont compris que NAT était là pour rester, les applications utilisant SIP (par exemple, Asterisk) se sont adaptées et sont maintenant capables de traverser NAT sans ALG. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
