нестандартный sip порт



  • sip сервер на стандартном 5060 порту.
    внешний адрес pfsense 1.1.1.1 внутренний sip сервера 192.168.1.1

    nat outbound в pfsense автоматом
    при правиле nat wan to 1.1.1.1:5060 >> 192.168.1.1:5060  (для фаервола правило автоматом) телефония работает нормально
    Хочется повысить безопасность и сделать нестандартный порт 51234
    при правиле nat wan to 1.1.1.1:51234 >> 192.168.1.1:5060  (для фаервола правило автоматом)  звонок длится ровно 32 секунды и сбрасывается
    гугль предлагает ручной outbound и static port. Пробовал не работает
    где то в дебрях фаервола скрыты особые условия для порта 5060. Нужна помощь специалистов
    И насколько вообще правильна такая схема проброса нестандартного порта на стандартный



  • Что в кач-ве sip-сервера исп-ся ? У меня на MyPBX (FreePBX) было такое , пока в настройках extensions не поставил руками 0 (нуль) в настройках длительности разговора. А так - надо логи смотреть. И pfsense и sip-сервера.



  • в качестве сервера поделка от welltime. вся фишка в том, что на 5060 порту все нормально работает. порт внешний меняю начинает рваться соединение



  • Всё намного проще, с тебя, уважаемый, шоколадка. И плюс в мою карму  ;)

    Посмотри сниф звонка, и убедись, что сип сервер в пакетах(в сип пакетах, не в поверхностном IP) оставляет свой контактный порт 5060, ибо он у него в конфиге записан.

    PS:
    sip+nat=вселеннское зло.



  • спасибо Добрый Человек.
    Как же посоветуете обезопасить подключения с динамических внешних адресов?



  • @mons:

    спасибо Добрый Человек.
    Как же посоветуете обезопасить подключения с динамических внешних адресов?

    Что-то типа fail2ban, как минимум (для SIP). Можно пакет pfblock (забыл как правильно наз-ся) и блокировать все китайские IP на WAN.
    Как вариант - Suricata\ Snort - http://pfsensesetup.com/tag/suricata/


Log in to reply