/
Π€Π°Π΅Ρ€Π²ΠΎΠ»

Π€Π°Π΅Ρ€Π²ΠΎΠ»

Owned by ДСнис Максимов (Unlicensed)
Last updated: Feb 02, 2024 by Dmitri Savolainen

УточняСм сСтСвыС интСрфСйсы, ΠΈ Π΄Π΅Π»ΠΈΠΌ ΠΈΡ… Π½Π° "Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΠΉ" ΠΈ "внСшний".

Для Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅Π³ΠΎ интСрфСйса Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Ρ€Π°Π·Ρ€Π΅ΡˆΠΈΡ‚ΡŒ вСсь Ρ‚Ρ€Π°Ρ„ΠΈΠΊ

Для внСшнСго интСрфСйса:

ВходящиС

  • http|https для web сСрвисов (REST-API, административный интСрфСйс, клиСнтский интСрфСйс)
  • UDP/1025-5067 ΠΈ UDP/5069-65535 - для RTP/SIP Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° . ΠŸΠΎΡ€Ρ‚ UDP/TCP/5080 Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ Π·Π°ΠΊΡ€Ρ‹Ρ‚ для доступа снаруТи
  • ΠΏΠΎΡ€Ρ‚Ρ‹, Π½Π΅ попавшиС Π² Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ UDP/1025-65535,Β Π² зависимости ΠΎΡ‚ настроСк ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° "listen_list"Β  сСкции Β "[Kamailio Sbc]" Ρ„Π°ΠΉΠ»Π° /etc/ringme/main.cfg (Β  Π² случаС использования Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… tcp/udp ΠΏΠΎΡ€Ρ‚ΠΎΠ² SIP)
  • ssh tcp prort 22 (Для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ брутфорса 22Π³ΠΎ ΠΏΠΎΡ€Ρ‚Π° ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ fail2ban)


ΠŸΡ€ΠΈΠΌΠ΅Ρ€ настройки iptables для внСшнСго интСрфСйса с ΠΈΠΌΠ΅Π½Π΅ΠΌΒ β€œens18”

root@somehost:/home/ucom4b# cat /etc/iptables/rules.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:kamailio - [0:0]
:freeswitch - [0:0]
:web - [0:0]
# prepare
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
# accept out, established
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#main section
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i ens18 -j kamailio
-A INPUT -i ens18 -j freeswitch
-A INPUT -i ens18 -j web
# deny other
-A INPUT -i ens18 -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

#-A kamailio -i ens18 -p tcp -m tcp --dport 5060 -j ACCEPT -m comment --comment "SIP traffic - TCP (disabled)"
-A kamailio -i ens18 -p udp -m udp --dport 5060 -j ACCEPT -m comment --comment "SIP traffic - UDP"
-A kamailio -i ens18 -p udp -m udp --dport 5068 -j ACCEPT -m comment --comment "SIP traffic - UDP"
-A kamailio -j RETURN

# 5080 - freeswitch sip port, drop it, all another ports accept
-A freeswitch -i ens18 -p tcp -m tcp --dport 5080 -j DROP
-A freeswitch -i ens18 -p udp -m udp --dport 5080 -j DROP
-A freeswitch -i ens18 -p udp -m udp --dport 1025:65535 -j ACCEPT -m comment --comment "RTP"
-A freeswitch -j RETURN
#
-A web -i ens18 -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "HTTP"
-A web -i ens18 -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "HTTPS"
-A web -j RETURN
#
COMMIT