Инструменты пользователя

Инструменты сайта


handbook:security:firewall

Настройка Firewall в Askozia

Обратно к перечню инструкций

Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет блокировать внешние соединения с системой, что значительно снижает угрозу атаки на АТС.

1. Перейдите на вкладку СоединенияFirewall и активируйте брандмауэр.

2. Можете выбрать один из существующих шаблонов по установке правил блокировок, либо установить их самостоятельно. Под шаблоном понимаются заранее определенные правила блокировки соединений. Если АТС находится в частной сети, то воспользуйтесь шаблоном «на своей железке». Шаблон «в облаке» рекомендуется использовать для защиты АТС, расположенной на внешнем сервере.

3. Возможные параметры безопасности разделены на три зоны сети:

  1. Локальная сеть. Эта подсеть определяется в настройках Askozia на вкладке СоединенияСеть

    Эта же подсеть указана в настройках сети Firewall.

  2. Сеть Intranet - внутрикорпоративная локальная или территориально распределенная сеть. Она указывается в настройках сети самого Firewall.

  3. Сеть Internet

4. Напротив каждого блокируемого сервиса необходимо выбрать способ блокировки:

  • Блокировка подсети - блокировка локальной подсети
  • Блокировка локальных соединений - блокировка сети Intranet
  • Блокировка Интернет соединения - блокировка сети Internet
Объект блокировки Описание Диапазон портов
Стартовая страница Страница авторизации для администратора и пользователя АТС 80
Web-интерфейс Интерфейс настройки АТC 23600
SSH SSH(Secure Shell) позволяет получить доступ к консоли AskoziaPBX 22
SIP SIP(Session Initiation Protocol) используется для установки соединений между VoIP телефонами 5060
IAX Страница авторизации для администратора и пользователя АТС 4569
RTP RTP используется для передачи голоса и видео в VoIP соединениях 10000:10200
AMI Asterisk Manager Interface (AMI) предоставляет доступ к Asterisk по TCP/IP протоколу 5038
AJAM Asynchronous Javascript Asterisk Manager (AJAM) предоставляет доступ к Asterisk по http/https протоколу 8088
Автоматическая настройка телефонов Автоматическая настройка VoIP телефонов с помощью AskoziaPBX 56080
Внутренний LDAP LDAP Телефонная книга 56090

Пример задания правил блокировок представлен на рисунке ниже:

Обязательно укажите резервный IP-адрес, для которого всегда будет доступно подключение к web-интерфейсу! Что делать, если заблокирован Ваш IP к web-интерфейсу? Подробности здесь.

Пример задания правил блокировок для AMI
Для интерфейса управления сервером Asterisk AMI установим блокировку подсети 192.168.1.0/24:

В настройках Firewall переходим на вкладку Расширенные и нажимаем кнопку Show iptables.

Для порта 5038 в колонке target видим запрет DROP на подсеть 192.168.1.0/24:

5. Если обращения с какого либо ip не блокируются, то возможно заблокировать адрес вручную, для этого в настройках Firewall следует добавить строку блокировки адреса в поле «Расширенные правила». Пользовательские правила всегда имеют более высокий приоритет.

Обратно к перечню инструкций

handbook/security/firewall.txt · Последние изменения: 2017/06/14 13:14 — tpor