Привет! В статье расскажем про сетевые порты, которые необходимо открыть на вашем фаерволе для корректного пользовательского доступа и работы оконечных устройств. В статье указаны дефолтные и порты, и, с точки зрения безопасности, мы рекомендуем их сменить на нестандартные.
Доступ администратора системы
| Порт | Транспорт (UDP/TCP) | Назначение | Смена порта | Безопасность | Дополнительно |
|---|---|---|---|---|---|
| 22 | TCP | Подключение к SSH консоли | Может быть изменен только через Linux CLI | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Порт используется для SSH подключения к АТС извне |
| 80 FreePBX 2001 PBXact |
TCP | Графический интерфейс по HTTP (не HTTPS) | Можно поменять через графический интерфейс по пути System Admin > Port Management | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Используется для пользовательского доступа к WEB - интерфейсу АТС |
| 443 | TCP | Графический интерфейс по HTTPS | Можно поменять через графический интерфейс по пути System Admin > Port Management | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Используется для пользовательского доступа к WEB - интерфейсу АТС. Использует SSL шифрование |
Доступ для SIP/IAX устройств
| Порт | Транспорт (UDP/TCP) | Назначение | Смена порта | Безопасность | Дополнительно |
|---|---|---|---|---|---|
| 5060 | UDP | Порт получения телефонной сигнализации модулем chan_PJSIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Стандартный порт для сигнализации модуля chan_PJSIP |
| 5061 | Порт получения защищенной телефонной сигнализации модулем chan_PJSIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Защищенный порт для сигнализации модуля chan_PJSIP | |
| 5160 | UDP | Порт получения телефонной сигнализации модулем chan_SIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Стандартный порт для сигнализации модуля chan_SIP |
| 5161 | Порт получения защищенной телефонной сигнализации модулем chan_SIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Защищенный порт для сигнализации модуля chan_SIP | |
| 10000-20000 | UDP | Получение RTP потока в рамках SIP сессии | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Можно открывать данные диапазон и, зачастую, это является требование SIP - провайдеров (RTP трафик зачастую приходит с различных IP - адресов)ё | Порты, необходимые для голосовой составляющей телефонного звонка |
| 4569 | UDP | Работа протокола IAX | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Используется для транкового объединения серверов и оконечных устройств. |
Доступ к UCP (User Control Panel)
| Порт | Транспорт (UDP/TCP) | Назначение | Смена порта | Безопасность | Дополнительно |
|---|---|---|---|---|---|
| 81 | TCP | Графический интерфейс UCP по HTTP (не HTTPS) | Порт можно поменять через FreePBX в System Admin > Port Management | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие). Для удаленных пользователей используйте HTTPS | Порт доступа к пользовательской панели UCP |
| 4443 | TCP | Графический интерфейс UCP по HTTPS | Порт можно поменять через FreePBX в System Admin > Port Management | Можно оставлять открытым в сеть, так как трафик шифрован, а так же происходит аутентификация пользователей | Порт доступа к пользовательской панели UCP с помощью SSL шифрования |
| 8088 | TCP | Порт для WebRTC клиентов | Порт можно поменять через FreePBX в Advanced Settings > Asterisk Builtin mini-HTTP > HTTP Bind Port | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие). Для удаленных пользователей используйте HTTPS | Необходим для реализации WebRTC звонков через UCP (звонок через броузер) |
| 8089 | TCP | Порт для шифрования WebRTC клиентов | Порт можно поменять через FreePBX в Advanced Settings > Asterisk Builtin mini-HTTP > HTTPS Bind Port | Можно оставлять открытым в сеть, так как трафик шифрован, а так же происходит аутентификация пользователей | Необходим для реализации WebRTC звонков с шифрованием через UCP (звонок через броузер) |
| 8001 | TCP | Node Server - получение информации в реальном времени в рамках UCP | Порт можно поменять через FreePBX в Advanced Settings > UCP NodeJS Server > NodeJS Bind Port | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Процесс отвечает за real - time активности: всплывающая информация, чаты и прочее |
| 8003 | TCP | Node Server (защищенные подключения) | Порт можно поменять через FreePBX в Advanced Settings > UCP NodeJS Server > NodeJS HTTPS Bind Port | Можно оставлять открытым в сеть, так как трафик шифрован, а так же происходит аутентификация пользователей | Процесс отвечает за real - time активности: всплывающая информация, чаты и прочее |
Остальные порты зависят от ваших конкретных требований: наличие RMS компонента мониторинга, Zulu, функционала провижнинга (EPM) и прочие.
