我对 Asterisk VoIP 服务器的防火墙规则有疑问。
我对 UDP/TCP 端口 5060 的访问受到限制,这似乎阻止了呼叫。
我想确保我的 VoIP 服务器不会被黑客入侵或滥用。因此,如果有人能告诉我哪些端口需要向所有人开放,我将不胜感激。
任何关于此事的帮助都是非常有帮助的。
目前,Asterisk 服务器具有以下访问控制。
USD/TCP 端口 5060,限制访问。
UDP 端口 10000:20000,RTP 媒体的全局访问。
感谢所有为解决这个问题做出贡献的人。我确信这对很多管理员来说都会很有用。
顺便说一句,我一直在参考这些链接来解决一些问题。
http://www.voip-info.org/wiki/view/Asterisk+firewall+rules
https://www.didww.com/Knowledgebase/sip_with_firewall_nat_using_asterisk/
答案1
您上面引用的 wiki 帖子严重误导(这也是作者抱怨他仍然被黑客攻击的原因)。手动管理 iptables 列表是错误的方法 - 更糟糕的是,作者只是限制对 SIP 和 RTP 端口的访问并寻找用户代理(而不限制源 IP、连接速率等)。IP 不断变化,黑客更改代理字符串等。除非您家中只有少数具有静态 IP 的用户,否则只能从家中连接等。这种方法是错误的。
如果您的目标是安全,请查看以下一些保护您的 VoIP 服务器的工具和技术:星号安全。配置不当的 PBX 可能会让您在周末遭受黑客的长途电话攻击后产生 5 万美元的账单。
答案2
我只打开了 rtp 端口 (10000:20000) 和 5060,从公共 IP 的 VoIP 提供商到我的 asterisk 服务器。显然,从您的 asterisk 到您的 VoIP 提供商的流量必须被允许。此外,您可以添加带有 asterisk 模式的 fali2ban 来创建第二条战线。为了提高您的安全级别,您可以在对等选项(您的分机)中添加允许注册您的电话的源网络并使用强密码。