Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Elastix разрешить доступ только из локальной сети

0

Здравствуйте!

Подскажите, где в Elastix 2.4 – можно поменять параметры по умолчанию, для ограничения доступа ко всем экстеншенам, только из одной подсети?
Хочется прописать глобально, чтобы не заходить, и не прописывать для каждого deny=0.0.0.0/0.0.0.0 permit=192.168.1.0/255.255.255.0

удалить закрыть спам изменить тег редактировать

спросил 2013-12-09 09:50:16 +0400

paladim777 Gravatar paladim777
1 2 1

Comments

чем функционал фаервола не устраивает?

zzuz ( 2013-12-09 11:33:52 +0400 )редактировать

Да хотел решить средствами самого Asterisk (deny=/permit=) раз такие средства есть.

paladim777 ( 2013-12-09 14:19:11 +0400 )редактировать

Сам Elastix, защищен от дикого инета, за аппаратным фаерволом (D-Link DFL 800), и соответственно все снаружи прикрыто. На исходящий, в интернет, открыто для регистрации транка до оператора только SIP, и до конкретного IP адреса. Все это реализовано на аппаратном фаерволе. Но хотелось включить еще дополнительную защиту средствами самого Asterisk. Думал, что может можно ограничится добавлением записей deny=0.0.0.0/0.0.0.0 permit=192.168.0.0/255.255.0.0, к примеру в файле Sipgeneralcustom.conf, но раз заморочка с шаблонами, то тогда откажусь от этой идеи, и использую родной фаервол в Elastix'е.

Спасибо.

paladim777 ( 2013-12-09 14:20:30 +0400 )редактировать

Сделал по принципу /etc/sysconfig/iptables, но только настраивал все через веб-морду: Security > Farewall > Firewall Rules. Firewall Elastix использует iptables.

paladim777 ( 2013-12-11 15:39:41 +0400 )редактировать

4 Ответа

0

/etc/sysconfig/iptables политики Input и OUTPUT в DROP

iptables -I INPUT -p ALL -s 192.168.0.0/24 -j ACCEPT
iptables -I INPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -I INPUT -p ALL -s {ip-prov} -j ACCEPT

iptables -I OUTPUT -p ALL -d 192.168.0.0/24 -j ACCEPT 
iptables -I OUTPUT -p ALL -d 127.0.0.1 -j ACCEPT
iptables -I OUTPUT -p ALL -d {ip-prov} -j ACCEPT

это надежнее чем permit.

ссылка удалить спам редактировать

ответил 2013-12-11 11:52:04 +0400

romariosar Gravatar romariosar flag of Russian Federation
578 88 8 38
http://www.webunix.ru/

Comments

ну попросили же "не фаерволом"

meral ( 2013-12-11 19:53:07 +0400 )редактировать
0

можно так.

echo "update sip set data='192.168.23.0/255.255.255.0' where keyword='permit' and length(id)<=4" |mysql asterisk -u asteriskuser -pelastixpassword

выполнять по крону или после большого изменения конфига, ну или разово. пароль заменить на пароль из /etc/amportal.conf

ссылка удалить спам редактировать

ответил 2013-12-11 11:41:35 +0400

meral Gravatar meral flag of Ukraine
21228 23 18 169
http://pro-sip.net/
0

Волшебные слова для гугля "fail2ban", "iptables" и "sip.conf параметры"

ссылка удалить спам редактировать

ответил 2013-12-11 11:13:24 +0400

CheeZ Gravatar CheeZ
1055 6 6 24
0

в одном месте никак, за это в обычном * отвечают шаблоны, к-х в Эластиксе нет для сипа. Так что нужно для каждого писать отдельно. Проще сделать через batch апдейт (кажись) - сохранить все в экселевский файл, подредактировать и загрузить обратно.

Но мне почему то кажется, что вы выставили его в дикий нет и пытаетесь защититься от взлома. Если сие так, то вы в огромной опасности..

ссылка удалить спам редактировать

ответил 2013-12-09 11:51:56 +0400

svoy Gravatar svoy
1603 1 4 20
http://svoy.in.ua/

Comments

шаблоны это странно. проще в global один раз написать. ну в еластиксе не пойдет ибо там в каждом пири свои пермит.

meral ( 2013-12-11 11:42:43 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-12-09 09:50:16 +0400

Просмотрен: 509 раз

Обновлен: Dec 11 '13

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.