Всем доброго времени суток )
Меня уже которую неделю очень интересует вопрос безопасности IP-АТС. Я бы даже сказал не дает нормально спать хД
А ситуация вот какая получается.. стоит у меня IP-АТС, на данном этапе все входящие пакеты фильтруются на уровне сетевухи (то есть средствами iptables).
По ssh, понятное дело, доступ только с определнных IP. Открытые всем порты по tcp - http, https, и.. sip. Входящие udp пакеты не фильтрую вообщем никак.
По sip пришлось открыть всем буквально вчера, так как среди подключенных пользователей некоторые используют SIP-клиенты на мобильниках, а сетки мегафона, мтс и КО я не нашел, вот такие вот дела.

-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s ***.***.***.*** -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5080 -j ACCEPT
-A INPUT -s ***.***.***.*** -p tcp -m tcp --dport 21 -j ACCEPT

по умолчанию инпут - дроп, аутпут - аксепт, форвард - дроп.
Объясните, если не трудно, я в опасности?))

От одного iptables толку не будет, если астер плохо настроен. Например, если пароли стоят простые.

Если вы про sip-пароли, то они девятизначные из рандомных цифр+букв.
А по поводу моей структуры iptables можете дать какие-нибудь комментарии?
открытый всем sip порт например, отсутствие фильтрации udp-трафа, чем может обернуться?
Какие еще настройки АТС кроме sip-паролей и пароля суперадмина относятся к безопасности?

ищите в инете
этот вопрос достаточно подробно разжеван

Ну раз пароли стойкие то проверить не разрешены ли анонимные звонки и поставить/настроить fail2ban и спать спокойно.
От брута по SSH он, кстати, тоже спасет.

и не только ssh , sip .. пакет даже от мух летом спасает)

лучше вообще наружу ничего не высовывать.

Наружу можно высунуть SER, на котором нагородить все, что заблагорассудится.
Хоть обратно на хакера вызовы заворачивать -- будет сам себя ломать...