我尝试使用OpenSIPS(SIP代理)应用程序来诊断问题。
当向同一个IP和端口发送两个不同的UDP数据包时,一个呼叫失败,-1 EPERM (Operation not permitted)
,而另一个正常。
这两个调用都来自同一个进程(至少是相同的PID)。
相关代码为on github。
这里是strace输出:
strace -e sendto
sendto(7, "SIP/2.0 100 Giving a try\r\nVia: S"..., 315, 0, {sa_family=AF_INET, sin_port=htons(5060), sin_addr=inet_addr("yyy.yyy.yyy.yyy")}, 16) = 315
sendto(7, "INVITE sip:myHomeDesktop@xxx"..., 1253, 0, {sa_family=AF_INET, sin_port=htons(5060), sin_addr=inet_addr("xxx.xxx.xxx.xxx")}, 16) = 1253
sendto(7, "SIP/2.0 200 OK\r\nVia: SIP/2.0/UDP"..., 707, 0, {sa_family=AF_INET, sin_port=htons(5060), sin_addr=inet_addr("yyy.yyy.yyy.yyy")}, 16) = -1 EPERM (Operation not permitted)
答案 0 :(得分:10)
事实证明,内核conntrack模块正在丢弃数据包,导致系统调用获取EPERM错误而不发送数据包。
我在查看系统日志后发现了这一点:
May 26 10:59:45 localhost kernel: nf_ct_sip: dropping packet: cannot add expectation for voice
我完全没有意识到我正在使用sip conntrack模块,并且它没有动态加载到我的系统上(lsmod
显示空白)。
我通过以下方式关闭SIP流量的连接跟踪来规避问题:
iptables -I OUTPUT -t raw -p udp --sport 5060 -j CT --notrack
iptables -I PREROUTING -t raw -p udp --dport 5060 -j CT --notrack