Защита порта 5060 sip телефония



  • Доброго времени суток, и с Наступающим Новым Годом! Кто то хочет мой сервер телефонии, с разных адресов. Хочу разрешить обращение на порт 5060 только для провайдера! подскажите как реализовать!



  • 1. Сменить порт на нестандартный из диапазона 1024-65535. Вот только после этого у нек-ых начинаются проблемы - надо проверять.
    2. Установить пакет pfblocker (http://skear.hubpages.com/hub/How-to-Configure-pfBlocker-An-IP-Block-List-and-Country-Block-Package-for-pfSense) и принудительно заблокировать Китай.
    3. Открыть доступ извне для sip только необходимым ip/диапазонам ip (можно сперва создать алиас(ы) с ними).

    P.s. Как вариант - поднять OpenVPN-сервер и коннектиться к ip-АТС через туннель. В таком случае не прийдется открывать в мир sip-порты.



  • Ну другой порт не вариант, провайдер работает на 5060, он предоставляет услуги связи! хочу просто разрешить подключение по порту 5060 для ip провайдера…
    если правильно понимаю нужный адрес нужно указать в красном кружке?



  • Ну другой порт не вариант, провайдер работает на 5060,

    А причем тут провайдер и ваш pf ? Получается, что вы сами выступаете в роли sip-провайдера? Иначе зачем вы порт себе пробрасываете?
    Определитесь с этим моментом.

    P.s. Поменьше восклицательных знаков.



  • от провайдера приходят пакеты на мой телефонный сервер через pfs , fps -прокси. сейчас порт 5060 по которому работает телефония открыт для всех адресов из вне, вот на него кто то и ломится. я не могу разобраться как его оставить открытым только для сервера провайдера(стат ip).



  • @Stopgun:

    от провайдера приходят пакеты на мой телефонный сервер через pfs , fps -прокси. сейчас порт 5060 по которому работает телефония открыт для всех адресов из вне, вот на него кто то и ломится. я не могу разобраться как его оставить открытым только для сервера провайдера(стат ip).

    провайдер мне посылает звонки на 5060…



  • Т.е. у вас  имеется внутренняя ip-атс и она по sip подключена к какому-то провайдеру ? Потому как порт 5060 используется только для аутентификации. Для передачи голоса используется RTP и диапазон udp-портов (по два на каждое клиентское подключение).

    Дело в том, что у меня похожая ситуация. Извне ко мне подключаются клиенты , а моя ip-атс подключена к sip-провайдеру.
    И при этом я использую нестандартный порт sip-аутентификации для моих внешних клиентов (т.е. не 5060).

    В таком случае, пробрасывать порт 5060 для sip-аутентификации для внешнего провайдера не нужно. Потому что подключаетесь вы к sip-провайдеру, а не к вам подключается провайдер.

    Вам хватит просто разрешить в правилах fw на LAN адресу вашей ip-атс  подключаться ко внешнему sip-провайдеру.


Log in to reply