artem
16.12.2014
16735

Подключение к Asterisk SIP-клиентов через нестандартный порт

Для подключения к Asterisk удалённых абонентов с динамическим IP-адресом, приходится пропускать SIP-соединения с любых IP-адресов, что быстро делает Asterisk целью хакерских атак. fail2ban и правильно настроенный Asterisk снизят вероятность взлома до минимума, но сервер и интернет-канал всё равно будут подвержены ненужной дополнительной нагрузке. Если же подключать всех внешних абонентов к нестандартному порту, а доступ по стандартному порту запретить, то подавляющее большинство взломщиков никогда не узнает о существовании вашей телефонии. Порты привязки Asterisk не будут изменены, т.е. клиенты в доверенных сетях смогут продолжить подключаться к стандартному порту.
Инструкция написана для CentOS 6 и Asterisk 11.

Вся настройка касается только правил iptables

1) Выбираем случайный порт, такой, чтобы не был назначен IANA какой-либо популярной службе, и не входящий в диапазон RTP. В рамках данной статьи, для SIP будет использован порт 41413, для RTP — 10000-20000.

2) В таблице mangle добавляем IP-адрес, отправивший запрос, в список ext_sip, с помощью модуля recent.

iptables -t mangle -A PREROUTING -p udp --dport 41413 -m recent --set --name ext_sip
iptables -t mangle -A PREROUTING -p tcp --dport 41413 -m recent --set --name ext_sip

3) В таблице nat перенаправляем пакеты на стандартный порт SIP.

iptables -t nat -A PREROUTING -p udp --dport 41413 -j REDIRECT --to-ports 5060
iptables -t nat -A PREROUTING -p tcp --dport 41413 -j REDIRECT --to-ports 5060

4) В таблице filter пропускаем SIP-пакеты с адресов из списка ext_sip

# SIP и RTP-трафик будет приниматься в отдельной цепочке
iptables -N SIP
# Локальная сеть продолжает использовать стандартный порт
iptables -A SIP -i eth0 -s 192.168.100.0/24 -j ACCEPT
# Удаленные клиенты
iptables -A SIP -m recent --rcheck --seconds 7200 --name ext_sip -j ACCEPT
# Остальной SIP-трафик сбрасываем
iptables -A SIP -j DROP
. . .
iptables -A INPUT -p udp --dport 5060 -j SIP
iptables -A INPUT -p tcp --dport 5060 -j SIP
# RTP-трафик тоже завёрнут в цепочку SIP, но его можно и разрешить отовсюду
iptables -A INPUT -p udp --dport 10000:20000 -j SIP


Готово, можно тестировать.
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Остались вопросы?

Я - Кондрашин Игорь, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование


ближайшие курсы

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.