Asterisk সার্ভার ফায়ারওয়াল স্ক্রিপ্ট ইনকামিং কল থেকে 2-উপায় অডিও অনুমতি দেয়, কিন্তু বহির্গামী নয়?


0

আমি ইন্টারনেটের সাথে সরাসরি সংযুক্ত একটি ভার্চুয়াল মেশিনে একটি এস্টারস্কি PBX চালাচ্ছি এবং আমি সত্যিই স্ক্রিপ্ট kiddies, l33t h4x0rz এবং আমার সার্ভারে প্রকৃত হ্যাকার অ্যাক্সেস প্রতিরোধ করতে চাই। আমি আমার কলিং বিলটি সুরক্ষিত করার মূল পদ্ধতিটি এখন 32 ক্যারেক্টার পাসওয়ার্ডগুলি ব্যবহার করে, তবে আমি সুরক্ষার জন্য একটি উপায় রাখি

বর্তমানে যে ফায়ারওয়াল স্ক্রিপ্টটি আমি ব্যবহার করছি তা নীচে দেওয়া হয়েছে, তবে, প্রতিষ্ঠিত সংযোগ ফায়ারওয়াল নিয়ম (উল্লিখিত নিয়ম # 1) ছাড়া, আউটগোয়িং কলগুলির সময় আমি লক্ষ্য থেকে ইনকামিং অডিও পাইনি:

#!/bin/bash

# first, clean up!
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP # we're not a router
iptables -P OUTPUT ACCEPT

# don't allow invalid connections
iptables -A INPUT -m state --state INVALID -j DROP

# always allow connections that are already set up (MENTIONED RULE #1)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# always accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# always accept traffic on these ports
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# always allow DNS traffic
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# allow return traffic to the PBX
iptables -A INPUT -p udp -m udp --dport 50000:65536 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
iptables -A INPUT -p udp --destination-port 5060:5061 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5060:5061 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 10000:20000
iptables -A INPUT -m multiport -p tcp --dports 10000:20000

# IP addresses of the office
iptables -A INPUT -s 95.XXX.XXX.XXX/32 -j ACCEPT

# accept everything from the trunk IP's
iptables -A INPUT -s 195.XXX.XXX.XXX/32 -j ACCEPT
iptables -A INPUT -s 195.XXX.XXX.XXX/32 -j ACCEPT

# accept everything on localhost
iptables -A INPUT -i lo -j ACCEPT

# accept all outgoing traffic
iptables -A OUTPUT -j ACCEPT

# DROP everything else
#iptables -A INPUT -j DROP

আমি জানতে চাই যে ফায়ারওয়ালের এই নিয়মটি কি কাজ করছে তার জন্য আমি অনুপস্থিত নই। এখানে অনেক ছোট ডকুমেন্টেশন রয়েছে যা পোর্ট (ইনকামিং এবং আউটগোয়িং) তারকাচিহ্নের আসলে প্রয়োজন। (রিটার্ন পোর্ট অন্তর্ভুক্ত)।

এখানে কোন ফায়ারওয়াল / iptables বিশেষজ্ঞ আছে যা এই ফায়ারওয়াল স্ক্রিপ্টের সাথে বড় সমস্যাগুলি দেখে?

এটি এমন হতাশাজনক যে কোনও সহজ ফায়ারওয়াল সমাধান খুঁজে পাওয়া যায় না যা আমাকে ইন্টারনেটে যে কোনও পবিএক্স চালনা করতে সক্ষম করে, যা এভাবে ফায়ারওয়াল করা যায় যাতে এটি কেবলমাত্র অফিস থেকে এবং অফিসে, DNS সার্ভার এবং ট্রাঙ্কের সংযোগগুলিকে অনুমতি দেয়। গুলি) (এবং শুধুমাত্র বাইরের বিশ্বের জন্য SSH (পোর্ট 22) এবং ICMP ট্র্যাফিক সমর্থন)।

আশা করি, এই প্রশ্নটি ব্যবহার করে, আমরা একবার এবং সবাইকে এই সমস্যার সমাধান করতে পারি।


কেন 65536 এর মধ্যে একটি বন্দর পরিসীমা শেষ হয়? এটি একটি ত্রুটির কারণ হতে পারে, যেহেতু সর্বাধিক সম্ভাব্য পোর্ট নম্বর 65535। কেন "পবিএক্সে ট্র্যাফিক ফেরত দেওয়ার অনুমতি দেয়" এর অন্তর্গত শেষ দুটি নিয়ম -jবিবৃতিতে নেই? কেন অফিসের "আইপি ঠিকানা" একটি একক আইপি ঠিকানা - অফিস মেশিন এবং Asterisk বাক্সের মধ্যে একটি NAT গেটওয়ে আছে? কেন আপনি গন্তব্য পোর্ট 53 জন্য একটি নির্দিষ্ট আউটপুট নিয়ম আছে, আপনি ইতিমধ্যে সব আউটপুট গ্রহণ? ACCEPT এ আপনার মূল ইনপুট নীতি কেন সেট করা আছে এবং তারপরে "অন্য সবকিছু ড্রপ করুন" কমান্ডের সাথে শেষ করুন - কেন DROP এ ইনপুট নীতি সেট করবেন না?
স্পিন

উত্তর:


1

পোর্ট উপলব্ধযোগ্য সম্পর্কে সম্পূর্ণ ডকুমেন্টেশন আছে। আপনি এটি উপকার না মনে কেন এটা স্পষ্ট নয়।

Asterisk ব্যবহার পোর্ট প্রযুক্তি / চ্যানেল টাইপ ব্যবহার নির্ভর করে

Sip.conf (ডিফল্ট 5060) বর্ণিত sip প্রোটোকল asterisk ব্যবহার পোর্ট এবং rtp.conf (ডিফল্ট 10000-20000) -এ বর্ণিত পোর্টগুলি ব্যবহারের জন্য rtp তথ্য পোর্টের জন্য। সাধারণত sip শুধুমাত্র udp পোর্ট ব্যবহার করুন। টিসিপি-সিপ এছাড়াও টিসিপি পোর্ট ব্যবহার করতে পারেন।

আপনি যদি ফায়ারওয়াল / NAT (সাদা আইপি নয়) পরে তারকাচিহ্নটি ব্যবহার করেন, তবে আপনি বহিরাগত আইপি ঠিকানার সম্পর্কে তারকাচিহ্নকে অবহিত করেছেন। আরো তথ্যের জন্য sip.conf.sample বা ইন্টারনেটে ম্যানুয়াল দেখুন।


আচ্ছা, আমি ওদের (udp 5060 এবং 10000-20000 (এটি ম্যানুয়ালি উল্লেখ করেছিলাম) জানতাম, তবে, আমি তাদের অফিসে IP খুলতে চাই না, কেবলমাত্র আমার অফিস আইপি তে .. কিন্তু যখনই আমি তা করি, তখন আমি সমস্যাগুলি যেমন 2-উপায় অডিও যা কাজ করছে না ..
হেনরি ভ্যান মেজেন

1
কোন ভুল আছে কি কোন উপায় নেই। Nat সেটিংস / sip ডিবাগ চেক করুন।
অ্যারিওপ্স

আমি অন্য চেহারা হবে .. এতদূর টিপস জন্য ধন্যবাদ।
হেনরি ভ্যান মেজেন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.