¬аш вопрос св€зан с хэштэгами #“елефони€, #FreePBX и Asterisk, #Ќастройка модулей? —просите в Telegram!

ћерион Ќетворкс

¬ сегодн€шней статье рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позвол€ет создать первичную низкоуровневую защиту нашей IP-ј“— - Firewall. Ќужно отметить, что попытки создать нечто подобное на ранних верси€х FreePBX всЄ-таки были, но все они не увенчались успехом и заставл€ли пользователей так или иначе идти на компромиссы дл€ сохранени€ доступности функционала IP-ј“—. ћодуль Firewall был разработан с глубоким пониманием существующих проблем и его основной целью €вл€етс€ защита УсреднейФ, или другими словами, типовой инсталл€ции при об€зательном сохранении VoIP сервисов.

ƒанный модуль отслеживает и блокирует атаки, пропуска€ при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открыва€ и закрыва€ порты дл€ необходимых транков.


Ќастройка модул€ Firewall

ѕерейдЄм к настройке. ƒл€ того, чтобы попасть в модуль, нужно перейти по следующему пути: Connectivity -> Firewall, откроетс€ следующее окно:

 онфигураци€ Firewall в FreePBX 13

„тобы включить модуль, нажмите кнопку Enable Firewall. ќбратите внимание, после включени€ модул€ никакие правила ещЄ не задействованы, их нужно настроить.

ѕервое о чЄм сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-ј“— не €вл€етс€ членом Узоны довери€Ф (Trusted Zone) и предлагает добавить его дл€ исключени€ возможных блокировок:

—писок довери€ IP - адресов в FreePBX 13

ƒл€ наибольшего понимани€, давайте разберЄмс€ с пон€тием зоны (Zone), которым оперирует модуль Firewall.

¬се сетевые соединени€, поступающие на VoIP-сервер считаютс€ частью зоны.  аждый сетевой интерфейс и данные, поступающие на него принадлежат к определенной зоне. —тандартные зоны дел€тс€ на следующие:

  • Reject - ¬се соединени€, относ€щиес€ к данной зоне, запрещены. ќбратите внимание, что эта зона по-прежнему принимает RTP трафик, но никакие другие порты по умолчанию не прослушиваютс€. “рафик данной зоны может быть обработан с помощью Responsive Firewall, о котором будет сказано далее.
  • External - ѕозвол€ет только https соединени€ дл€ доступа к интерфейсу управлени€ и UCP порту, если они определены. “рафик данной зоны может также быть обработан с помощью Responsive Firewall
  • Other - »спользуетс€ на доверенных внешних сет€х, или других хорошо известных сет€х. ѕо умолчанию, позвол€ет получить доступ к UCP, а также обеспечивает нефильтрованный SIP и IAX.
  • Internal - »спользуетс€ на внутренних локальных сет€х, по умолчанию позвол€ет получить доступ ко всем сервисам IP-ј“—.
  • Trusted - ¬се сетевые соединени€ данной зоны разрешены. ѕропускаетс€ весь трафик от доверенной зоны. »менно сюда нам предложат добавить наш IP-адрес при первом включении модул€.

»так, чтобы добавить наш IP-адрес в список доверенных, нужно нажать You can add the host automatically here.

ƒобавить IP Ц адрес в фаервол на FreePBX 13

ћы попадЄм во вкладку Preconfigured. ѕредлагаетс€ два варианта, это добавление адреса хоста и добавление подсети Add Host и Add Network соответственно:

ƒобавить хост или подсеть в Firewall на FreePBX 13

ѕроверить, что адрес (или сеть) добавлены в список доверенных можно во вкладке Zones в разделе Networks.

ѕроверка разрешенных IP Ц адресов на фаерволе FreePBX

¬ модуле Firewall есть также дополнительный элемент, который отслеживает сигнализационные запросы определЄнных сервисов и блокирует возможные атаки - Responsive Firewall. “акими запросами могут быть запросы протоколов сигнализации SIP или IAX, например, запросы авторизации или вызова.  огда Responsive включен, то любой сигнализационный пакет исход€щий от хоста проходит через Firewall, если после некоторого количества таких пакетов, хост отправл€вший их не прошЄл успешную регистрацию, то весь трафик от этого хоста сбрасываетс€ на короткий промежуток времени (60 сек). ≈сли после данной блокировки хост продолжает слать пакеты с запросом регистрации и безуспешно пытаетс€ зарегистрироватьс€, то блокируетс€ уже его IP-адрес на 24 часа.  роме того, если на сервере настроен fail2ban, то система ещЄ и письмо отправит о данном событии.

„тобы включить данный функционал, на вкладке Responsive нужно нажать на кнопку Enable:

«ащита Asterisk с помощью Firewall

ƒалее необходимо указать, дл€ каких протоколов должен работать данный функционал:

«ащита от SIP или IAX атак с помощью фаервола

»звестные IP-адреса или даже целые подсети, которые про€вл€ли подозрительную активность и которые не должны иметь доступа к IP-ј“— можно заблокировать во вкладке Zones -> Blacklists.

–учна€ блокировка IP в FreePBX 13

» последний по счЄту, но не по значимости, функционал модул€ Firewall, о котором хотелось бы рассказать - Safe Mode. ƒанный функционал позвол€ет получить доступ к IP-ј“— если случайно была применена неправильна€ конфигураци€, котора€ привела к потере доступа, а доступа к консоли у вас нет.

јварийный доступ к FreePBX 13

ѕри включении модул€ Firewall, Safe Mode уже доступен, но чтобы его активировать, необходимо дважды перезапустить систему. —начала необходимо выполнить перезапуск один раз, дождатьс€, пока сервер полностью загрузитс€, а затем произвести вторую перезагрузку. ѕосле чего, система отложит загрузку правил FirewallТа, а вы сможете спокойно убрать ту конфигурацию, из-за которой потер€ли доступ.

ќ том, что система находитс€ в Safe Mode, будет говорить огромное уведомление в самом верху страницы, которое исчезнет через п€ть минут, тогда же запуст€тс€ правила Firewall.

Firewall Safe Mode FreePBX 13

ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных