>> Дело в том что своего asteriska у меня нет, и я не
>> пойму куда мне пробрасывать эти порты.
> пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP -
> вот и всё
> Только вначале выясните какие RTP порты на конечных устройствах настроены.

Добавил -A FORWARD -p udp --dport 5060 -j ACCEPT и
-A FORWARD -p udp -m multiport --dports 10000:20000 -j ACCEPT.
В настройках sip-клиента указал Range of ports used for RTP 10000:20000

не заработало. iptables -L -n-v показывает:
Chain FORWARD (policy DROP 504 packets, 74867 bytes)
pkts bytes target     prot opt in     out     source               destination
14529   12M bad_tcp_pkts  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
15561   13M ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ULOG copy_range 0 nlgroup 1 queue_threshold 1
14856   13M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 lan_inet   all  --  eth1   ppp0    0.0.0.0/0            0.0.0.0/0
  690 88893 lan_inet   all  --  eth1   eth2    0.0.0.0/0            0.0.0.0/0
    2  1174 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 10000:20000
    0     0 allowed    tcp  --  ppp0   *       0.0.0.0/0            192.168.23.9         tcp dpt:443

получается через 5060 идут пакеты нормально, а по 10000:20000 не идут