Будьте в курсе всех новостей про IP-телефонию и Asterisk.

Подписка на еженедельную рассылку компании VoxLink. Статьи и инструкции по настройке Asterisk и VoIP-оборудования, рецепты и лайфхаки, обучение и бесплатные вебинары.

Будь в теме!

Курсы по использованию Asterisk

IP-телефония — технология будущего. Обучитесь работе с IP-АТС Asterisk для того чтобы внедрить и профессионально использовать при решении коммуникационных задач.

Работайте с Asterisk профессионально!

Многоуровневая защита IP-АТС Asterisk

Телефонные станции очень часто становятся объектами хакерских атак. Узнайте, каким образом необходимо строить многоуровневую защиту для Вашей IP-АТС.

Не оставьте хакерам шансов. Защитите свой Asterisk от атак.

Используйте Веб-Интерфейс для удобства настройки

Панель управление FreePBX позволяет легко и удобно управлять всей системой. Научитесь эффективно использовать FreePBX для решения своих задач.

Управление станцией и статистика в окне браузера.

Научитесь работать с Asterisk из консоли

Для понимания работы с Asterisk необходимо уметь настраивать его вручную с конфигурационными файлами и командной строкой CLI Asterisk.

Научитесь «тонкой» настройке Asterisk

Цель курсов - максимум практики.

Обучение нацелено на практическую работу с IP-оборудованием: платы потоков E1, VoIP-телефонные аппараты, голосовые шлюзы FXS и прочее.

Обучение на реальном оборудовании — залог успеха.

Подключение к Asterisk SIP-клиентов через нестандартный порт

База знаний Настройка Asterisk
Для подключения к Asterisk удалённых абонентов с динамическим IP-адресом, приходится пропускать SIP-соединения с любых IP-адресов, что быстро делает Asterisk целью хакерских атак. fail2ban и правильно настроенный Asterisk снизят вероятность взлома до минимума, но сервер и интернет-канал всё равно будут подвержены ненужной дополнительной нагрузке. Если же подключать всех внешних абонентов к нестандартному порту, а доступ по стандартному порту запретить, то подавляющее большинство взломщиков никогда не узнает о существовании вашей телефонии. Порты привязки Asterisk не будут изменены, т.е. клиенты в доверенных сетях смогут продолжить подключаться к стандартному порту.
Инструкция написана для CentOS 6 и Asterisk 11.

Вся настройка касается только правил iptables

1) Выбираем случайный порт, такой, чтобы не был назначен IANA какой-либо популярной службе, и не входящий в диапазон RTP. В рамках данной статьи, для SIP будет использован порт 41413, для RTP - 10000-20000.

2) В таблице mangle добавляем IP-адрес, отправивший запрос, в список ext_sip, с помощью модуля recent.

iptables -t mangle -A PREROUTING -p udp --dport 41413 -m recent --set --name ext_sip
iptables -t mangle -A PREROUTING -p tcp --dport 41413 -m recent --set --name ext_sip


3) В таблице nat перенаправляем пакеты на стандартный порт SIP.

iptables -t nat -A PREROUTING -p udp --dport 41413 -j REDIRECT --to-ports 5060
iptables -t nat -A PREROUTING -p tcp --dport 41413 -j REDIRECT --to-ports 5060

4) В таблице filter пропускаем SIP-пакеты с адресов из списка ext_sip

# SIP и RTP-трафик будет приниматься в отдельной цепочке
iptables -N SIP
# Локальная сеть продолжает использовать стандартный порт
iptables -A SIP -i eth0 -s 192.168.100.0/24 -j ACCEPT
# Удаленные клиенты
iptables -A SIP -m recent --rcheck --seconds 7200 --name ext_sip -j ACCEPT
# Остальной SIP-трафик сбрасываем
iptables -A SIP -j DROP
. . .
iptables -A INPUT -p udp --dport 5060 -j SIP
iptables -A INPUT -p tcp --dport 5060 -j SIP
# RTP-трафик тоже завёрнут в цепочку SIP, но его можно и разрешить отовсюду
iptables -A INPUT -p udp --dport 10000:20000 -j SIP


Готово, можно тестировать.
сервер, asterisk, nat, sip, настройка, инструкция, Подключение, трафик, centOS