如何选择开源的、Asterisk 友好的防火墙?

如何选择开源的、Asterisk 友好的防火墙?

我很痛苦。

我们正在转向基于 SIP 的 VOIP 系统,但不知出于什么原因,我们无法让托管的 Asterisk 解决方案与 Sonicwall 配合使用。我们的 VOIP 提供商放弃了这一想法,并推荐了一家开源供应商 pfSense。

一点背景知识:

  • 我们的网络中大约有 30 个用户。
  • 我们对远程网络使用一些 IPSec VPN 连接。
  • 我想要但不需要应用层过滤。
  • 我们是活跃的互联网用户,因此适当的流量整形可能是一个值得关注的问题。

如何判断开源防火墙是否能够通过托管的 Asterisk 系统顺利处理 VOIP 设置?

当前尝试使用 Sonicwall 进行设置

  • 我们正在使用运行 SonicOS Enhanced 4.2 的 TZ 190
  • 启用一致性 NAT
  • 我们不使用 SonicWall 的自动 SIP 转换。图片链接:http://cl.ly/1Q3A3K3C1M1Z322I1M2L
  • 防火墙已开放,允许来自我们的 VOIP 提供商的所有内容以及所有 SIP UDP 和 TCP:图像链接:http://cl.ly/310b07271R0c2s2c3L1g(@Tom O'Conner 指出这可能是一个问题。)
  • 更多详细信息稍后公布...

答案1

PFsense 可以做到这一点。说实话,任何防火墙都应该能够让 SIP 和 RTP 不受影响地通过。

SIP 只是发起呼叫的机制,所以这只是问题的一部分。RTP 是语音流量本身的协议。一些 VoIP 电话可以使用 UPnP 与防火墙对话,并在拨打电话时动态配置端口转发。

PFsense 也可以做 QoS,但我不确定它实现得如何(我最近在工作中配置 PFsense,但还没有实现 QoS!)

这可能是一篇有趣的文章,网络地址转换 + VoIP(从VoIP 信息网)。您可能确实想要做的是将入站 SIP 连接限制为仅来自提供商的 SIP 网关,否则恶意人员会连接进来,并使用您的帐户拨打昂贵的电话。确保您还锁定了 HTTP(S) 和 Telnet 等电话的其他端口。我曾经在一家公司发现了一个有趣的安全漏洞,即能够 telnet 进入公共 SIP 电话,然后 ssh 进入网络。

您还应该考虑为语音流量设置单独的 VLAN。这有助于提高 QoS 并消除抖动。

这些 可能有趣的关于多个 SIP 注册和 PFSense 的介绍

相关内容