У меня есть вопросы по правилам межсетевого экрана для сервера Asterisk VoIP.
У меня ограниченный доступ к порту 5060 UDP / TCP, который, похоже, блокирует вызовы.
Я хочу убедиться, что мой VoIP-сервер не взломан и не используется неправильно. Итак, если кто-нибудь может сообщить мне, какие порты должны быть открыты для всех, я был бы очень признателен.
Любая помощь по этому поводу очень полезна.
Прямо сейчас сервер Asterisk имеет следующий контроль доступа.
USD / TCP порт 5060, ограниченный доступ.
UDP-порты 10000: 20000, глобальный доступ для RTP-носителей.
Спасибо всем, кто внесет свой вклад в решение этой проблемы. Я уверен, что это будет полезно для многих администраторов.
Кстати, я ссылался на эти ссылки, чтобы решить некоторую проблему.
http://www.voip-info.org/wiki/view/Asterisk+firewall+rules
https://www.didww.com/Knowledgebase/sip_with_firewall_nat_using_asterisk/
Пост вики, на который вы ссылались выше, серьезно ошибочен (и поэтому автор жалуется, что его все еще взламывают). Ручное управление списком iptables - неправильный подход. Хуже того, автор просто ограничивает доступ к портам SIP и RTP и ищет пользовательских агентов (без ограничения IP-адресов источника, скорости соединения и т. Д.). IP постоянно меняется, хакеры меняют строки агента и т. Д. Если у вас дома только несколько пользователей со статическими IP-адресами, вы подключаетесь только из дома и т. Д., Это неверный подход.
Если ваша цель - безопасность, ознакомьтесь с некоторыми инструментами и методами защиты вашего VoIP-сервера здесь: Безопасность Asterisk. Плохо настроенная АТС может оставить вам счет в 50 тысяч долларов после уик-энда между хакерскими звонками.
Я открыл только порт rtp (10000: 20000) и 5060 от провайдера VoIP общедоступного IP на мой сервер asterisk. Очевидно, трафик от звездочки к провайдеру VoIP должен быть разрешен. Кроме того, вы можете добавить fali2ban со звездочкой для создания второй боевой линии. Для повышения уровня безопасности вы можете добавить в одноранговые параметры (ваши расширения) исходные сети, разрешенные для регистрации вашего телефона, и использовать надежный пароль.