Екатерина
14.06.2019
1398

Настройка Firewall в FreePBX 14

На веб интерфейсе астериска есть довольно простой инструмент для настройки фаервола для нашей ай-пи телефонии, он подходит для тех кто не особо знаком с iptables linux и позволяет настроить доступа к серверу прямо с веб интерфейса. Для этого проверяем есть ли соответствующий модуль: Если его нет то устанавливаем.После установки появляется соответствующее меню : Смотрим, что […]

На веб интерфейсе астериска есть довольно простой инструмент для настройки фаервола для нашей ай-пи телефонии, он подходит для тех кто не особо знаком с iptables linux и позволяет настроить доступа к серверу прямо с веб интерфейса.

Для этого проверяем есть ли соответствующий модуль:

Если его нет то устанавливаем.
После установки появляется соответствующее меню :

Смотрим, что сейчас firewall у нас пустой командой iptables -L –nv

Далее включаем фаервол

И переходим к следующей вкладке Responsive Firewall.

Отключаем тут всё, эти настройки позволяют ограниченное количество раз зарегистрироваться устройствам, которые бы при обычном сценарии сразу бы разблокировало.

Но если включено и попытка регистрации успешна, то удаленный ip затем добавляется в доверенную зону, у которой есть разрешение на использование этого протокола, и ему дополнительно предоставляется доступ к UCP.

Обратите внимание, что если вы явно предоставили доступ к протоколу внешним соединениям, эта фильтрация и ограничение доступа не будут использоваться. Это используется только тогда, когда входящее соединение обычно блокируется.

Следующая вкладка Interface. Тут всё просто: указываете какой интерфейс у вас смотрит во внутреннюю сеть, а какой в интернет, если такой имеется.
В данном случае у меня интерфейс один и он смотрит в роутер, так что ставим ему политику фаервола для доступа в интернет.

Следующая вкладка networks – она позволяет настроить политики доступа более избирательно, чем на интерфейсах (если он у вас один и нет возможности разграничить там).

Тут можно назначать политики безопасности для отдельных адресов и целых подсетей.

В данном скриншоте для адреса 192.168.32.13 разрешены любые действия и подключение с этого адреса вообще не попадает под правила фаервола.
А подесть 192.168.55.0/24(или более привычный вариант 192.168.55.0/255.255.255.0) является локальной. Например, из неё могут подключатся телефоны более детально эти политики настраиваются на вкладке services

Тут можно выбрать какие протоколы доступны для каких политик безопасности.
На данном скриншоте все взаимодействия разрешены только для политики local.
SSH это доступ к консоли linux
Web Management доступ к веб интерфейсу по 80 порту (http)
Web Management (Secure) доступ к веб интерфейсу по 443 порту (https)
SIP Protocol возможность подключать телефоны ранки к АТС по sip
CHAN_SIP Protocol возможность подключать телефоны и транки к АТС по pjsip
IAX Protocol  возможность подключать транки по протоколу iax(собственный протокол asterisk обычно используется для связи нескольких серверов телефонии)
WebRTC – в двух словах, звонки из браузера но это отдельная обширная тема. Во вкладке extra services уже более специфичные вещи

Например, XMPP позволяет организовать чат между вашими сотрудниками через браузер.
ССЫЛКА на мою статью по XMPP
из нужного тут OpenVPN Server если используете
и TFTP для автопровижинга телефонов https://voxlink.ru/kb/ip-phones-configuration/escene/Provizhing-ip-telefona-Escene-292-N/

Фактически сервисы здесь – это связка порт-протокол, которые разрешаются для политик.

Во вкладке Custom Services можно сделать свою собственную связку

И вкладка Blacklist в которой можно принудительно забанить определённые адреса:

А вот так уже выглядит фаервол после включения его в веб интерфейсе:

Базовая настройка фаервола завершена.

 
avatar
  Подписаться  
Уведомление о

Остались вопросы?

Я - Першин Артём, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование

ближайшие курсы

ближайшие Вебинары

ONLINE

Why Choose HUGE?

Unlimited pre-designed elements

Each and every design element is designed for retina ready display on all kind of devices

User friendly interface and design

Each and every design element is designed for retina ready display on all kind of devices

100% editable layered PSD files

Each and every design element is designed for retina ready display on all kind of devices

Created using shape layers

Each and every design element is designed for retina ready display on all kind of devices