我已经阻止了端口 80、9001、9080。还应阻止哪些端口以最大限度地保证安全?
PS:这是星号服务器/PBX
抱歉:这里有新的系统管理员:)
谢谢!
答案1
最好的办法是封锁所有端口(iptables 默认为 DROP),只打开你需要的端口(至少对于你的 asterisk 服务器来说可能是端口 5060)。如果你需要从外部管理 asterisk,如果你从 web 浏览器管理它,则需要打开端口 80,如果你使用 ssh,则需要打开端口 22。
更新:
对于 Asterisk,我认为您不需要打开其他端口,甚至不确定是否需要打开 5060。如果您只接听通过 voip 提供商(有中继)打来的电话,则无需打开 5060。
如果您有分机(或另一个 Voip PBX)从互联网连接,则需要打开 5060,但如果可以避免,我不建议这样做。您可以改用 VPN。
老实说,我认为最好在 LAN 中使用 Asterisk(在具有 NAT 和防火墙的路由器/服务器后面),而不直接连接到互联网。在这种情况下,面向互联网的服务器(或路由器)必须将您在 Asterisk 中使用的 RTP 端口范围(可能为 8000-10001)端口转发到您的 Asterisk 服务器。如果您在 5060 上收到新连接,您还需要端口转发。
注意:从中继线(例如 DID)收到的新呼叫不是与 5060 的新连接,因为使用中继线与您的 voip 提供商的连接是由 asterisk 发起的,因此它处于防火墙的 RELATED 或 ESTABLISHED 状态,并且应该已经获得路由器防火墙的授权(如果不是,您可能在 LAN 中没有互联网)。