我应该阻止哪些其他端口以最大限度地提高服务器安全性？PS 使用 IPTABLES

Question

最好的办法是封锁所有端口（iptables 默认为 DROP），只打开你需要的端口（至少对于你的 asterisk 服务器来说可能是端口 5060）。如果你需要从外部管理 asterisk，如果你从 web 浏览器管理它，则需要打开端口 80，如果你使用 ssh，则需要打开端口 22。

更新：

对于 Asterisk，我认为您不需要打开其他端口，甚至不确定是否需要打开 5060。如果您只接听通过 voip 提供商（有中继）打来的电话，则无需打开 5060。

如果您有分机（或另一个 Voip PBX）从互联网连接，则需要打开 5060，但如果可以避免，我不建议这样做。您可以改用 VPN。

老实说，我认为最好在 LAN 中使用 Asterisk（在具有 NAT 和防火墙的路由器/服务器后面），而不直接连接到互联网。在这种情况下，面向互联网的服务器（或路由器）必须将您在 Asterisk 中使用的 RTP 端口范围（可能为 8000-10001）端口转发到您的 Asterisk 服务器。如果您在 5060 上收到新连接，您还需要端口转发。

注意：从中继线（例如 DID）收到的新呼叫不是与 5060 的新连接，因为使用中继线与您的 voip 提供商的连接是由 asterisk 发起的，因此它处于防火墙的 RELATED 或 ESTABLISHED 状态，并且应该已经获得路由器防火墙的授权（如果不是，您可能在 LAN 中没有互联网）。

Answer 1

最好的办法是封锁所有端口（iptables 默认为 DROP），只打开你需要的端口（至少对于你的 asterisk 服务器来说可能是端口 5060）。如果你需要从外部管理 asterisk，如果你从 web 浏览器管理它，则需要打开端口 80，如果你使用 ssh，则需要打开端口 22。

更新：

对于 Asterisk，我认为您不需要打开其他端口，甚至不确定是否需要打开 5060。如果您只接听通过 voip 提供商（有中继）打来的电话，则无需打开 5060。

如果您有分机（或另一个 Voip PBX）从互联网连接，则需要打开 5060，但如果可以避免，我不建议这样做。您可以改用 VPN。

老实说，我认为最好在 LAN 中使用 Asterisk（在具有 NAT 和防火墙的路由器/服务器后面），而不直接连接到互联网。在这种情况下，面向互联网的服务器（或路由器）必须将您在 Asterisk 中使用的 RTP 端口范围（可能为 8000-10001）端口转发到您的 Asterisk 服务器。如果您在 5060 上收到新连接，您还需要端口转发。

注意：从中继线（例如 DID）收到的新呼叫不是与 5060 的新连接，因为使用中继线与您的 voip 提供商的连接是由 asterisk 发起的，因此它处于防火墙的 RELATED 或 ESTABLISHED 状态，并且应该已经获得路由器防火墙的授权（如果不是，您可能在 LAN 中没有互联网）。

我应该阻止哪些其他端口以最大限度地提高服务器安全性？PS 使用 IPTABLES

答案1

相关内容