Здравствуйте!
Подскажите, где в Elastix 2.4 – можно поменять параметры по умолчанию, для ограничения доступа ко всем экстеншенам, только из одной подсети?
Хочется прописать глобально, чтобы не заходить, и не прописывать для каждого deny=0.0.0.0/0.0.0.0 permit=192.168.1.0/255.255.255.0
/etc/sysconfig/iptables политики Input и OUTPUT в DROP
iptables -I INPUT -p ALL -s 192.168.0.0/24 -j ACCEPT
iptables -I INPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -I INPUT -p ALL -s {ip-prov} -j ACCEPT
iptables -I OUTPUT -p ALL -d 192.168.0.0/24 -j ACCEPT
iptables -I OUTPUT -p ALL -d 127.0.0.1 -j ACCEPT
iptables -I OUTPUT -p ALL -d {ip-prov} -j ACCEPT
это надежнее чем permit.
можно так.
echo "update sip set data='192.168.23.0/255.255.255.0' where keyword='permit' and length(id)<=4" |mysql asterisk -u asteriskuser -pelastixpassword
выполнять по крону или после большого изменения конфига, ну или разово. пароль заменить на пароль из /etc/amportal.conf
Волшебные слова для гугля "fail2ban", "iptables" и "sip.conf параметры"
в одном месте никак, за это в обычном * отвечают шаблоны, к-х в Эластиксе нет для сипа. Так что нужно для каждого писать отдельно. Проще сделать через batch апдейт (кажись) - сохранить все в экселевский файл, подредактировать и загрузить обратно.
Но мне почему то кажется, что вы выставили его в дикий нет и пытаетесь защититься от взлома. Если сие так, то вы в огромной опасности..
шаблоны это странно. проще в global один раз написать. ну в еластиксе не пойдет ибо там в каждом пири свои пермит.
meral ( 2013-12-11 11:42:43 +0400 )редактироватьЗадан: 2013-12-09 09:50:16 +0400
Просмотрен: 1,327 раз
Обновлен: Dec 11 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
чем функционал фаервола не устраивает?
zzuz ( 2013-12-09 11:33:52 +0400 )редактироватьДа хотел решить средствами самого Asterisk (deny=/permit=) раз такие средства есть.
paladim777 ( 2013-12-09 14:19:11 +0400 )редактироватьСам Elastix, защищен от дикого инета, за аппаратным фаерволом (D-Link DFL 800), и соответственно все снаружи прикрыто. На исходящий, в интернет, открыто для регистрации транка до оператора только SIP, и до конкретного IP адреса. Все это реализовано на аппаратном фаерволе. Но хотелось включить еще дополнительную защиту средствами самого Asterisk. Думал, что может можно ограничится добавлением записей deny=0.0.0.0/0.0.0.0 permit=192.168.0.0/255.255.0.0, к примеру в файле Sipgeneralcustom.conf, но раз заморочка с шаблонами, то тогда откажусь от этой идеи, и использую родной фаервол в Elastix'е.
Спасибо.
paladim777 ( 2013-12-09 14:20:30 +0400 )редактироватьСделал по принципу /etc/sysconfig/iptables, но только настраивал все через веб-морду: Security > Farewall > Firewall Rules. Firewall Elastix использует iptables.
paladim777 ( 2013-12-11 15:39:41 +0400 )редактировать