Защита порта 5060 sip телефония
-
Доброго времени суток, и с Наступающим Новым Годом! Кто то хочет мой сервер телефонии, с разных адресов. Хочу разрешить обращение на порт 5060 только для провайдера! подскажите как реализовать!
-
1. Сменить порт на нестандартный из диапазона 1024-65535. Вот только после этого у нек-ых начинаются проблемы - надо проверять.
2. Установить пакет pfblocker (http://skear.hubpages.com/hub/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense) и принудительно заблокировать Китай.
3. Открыть доступ извне для sip только необходимым ip/диапазонам ip (можно сперва создать алиас(ы) с ними).P.s. Как вариант - поднять OpenVPN-сервер и коннектиться к ip-АТС через туннель. В таком случае не прийдется открывать в мир sip-порты.
-
-
Ну другой порт не вариант, провайдер работает на 5060,
А причем тут провайдер и ваш pf ? Получается, что вы сами выступаете в роли sip-провайдера? Иначе зачем вы порт себе пробрасываете?
Определитесь с этим моментом.P.s. Поменьше восклицательных знаков.
-
от провайдера приходят пакеты на мой телефонный сервер через pfs , fps -прокси. сейчас порт 5060 по которому работает телефония открыт для всех адресов из вне, вот на него кто то и ломится. я не могу разобраться как его оставить открытым только для сервера провайдера(стат ip).
-
от провайдера приходят пакеты на мой телефонный сервер через pfs , fps -прокси. сейчас порт 5060 по которому работает телефония открыт для всех адресов из вне, вот на него кто то и ломится. я не могу разобраться как его оставить открытым только для сервера провайдера(стат ip).
провайдер мне посылает звонки на 5060…
-
Т.е. у вас имеется внутренняя ip-атс и она по sip подключена к какому-то провайдеру ? Потому как порт 5060 используется только для аутентификации. Для передачи голоса используется RTP и диапазон udp-портов (по два на каждое клиентское подключение).
Дело в том, что у меня похожая ситуация. Извне ко мне подключаются клиенты , а моя ip-атс подключена к sip-провайдеру.
И при этом я использую нестандартный порт sip-аутентификации для моих внешних клиентов (т.е. не 5060).В таком случае, пробрасывать порт 5060 для sip-аутентификации для внешнего провайдера не нужно. Потому что подключаетесь вы к sip-провайдеру, а не к вам подключается провайдер.
Вам хватит просто разрешить в правилах fw на LAN адресу вашей ip-атс подключаться ко внешнему sip-провайдеру.