По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Привет, мир! Говорим о том, что такое IP - адрес. Вообще, IP расшифровывается как Internet Protocol, но поверьте нам, даже в профессиональной среде, аббревиатуру не расшифровывает никто. IPшник, адрес, АйПи, ИПЭ, как угодно, но не INTERNET PROTOCOL. Погнали разбираться - вот вам пример из реальной жизни: Если нам нужно отправить письмо, то на конверте нужно указать куда его нужно отправить и от кого, приклеить марки, сходить на почту и постоять в очереди - без этого ничего не выйдет. C IP адресом все так же - это адрес компьютера, сервера или любой другой активной сетевой железки. Чтобы общаться с другими компьютерами и серверами нужно чтобы у него был уникальный идентификатор, чтобы понять, куда нужно слать данные, и как их получить обратно. Например, мы хотим зайти на сайт. Для этого нам нужно отправить письмо сайту, и сказать, что нам нужна его главная страница. Сайт получит это письмо, и вышлет нам страничку по адресу, указанному на конверте в поле отправитель. Видеопособие Почему он так странно выглядит? Компьютеры общаются нулями и единицами, которые называются битами. И на самом деле этот адрес выглядит как строка из 32 нулей и единиц. Нет - нет, именно так. Представьте себе комбинацию нулей и единиц - это двоичная система. Двоичная, потому что есть значения 1 и 0. И все, больше никаких. Авторы адресации подумали и поняли, что ввод 32 единиц и нулей мог бы привести к панической атаке системного администратора, и было принято решение переводить его в десятичную систему. Так же решили разбить это длинное число на 4 части, поставив 3 точки и в итоге мы получили 4 числа от 0 до 255, с которыми гораздо проще работать. Возможно, вы где - то видели IP адреса, которые длиннее и содержат в себе буквы. Это что тоже айпи адрес? Да, это тоже адрес, только другой версии. То, что мы уже обсудили - называется IPv4. То есть IP 4ой версии (да - да, они еще и по версии отличаются). С этой версий есть одна проблема - всего может существовать 4 294 967 296 адресов, что не хватит для всех устройств, особенно сейчас, когда адрес может быть даже у холодильника. Здесь уже мы используем число из 128 бит которое делим на 8 частей при помощи двоеточий и переводим их в шестнадцатеричную систему счисления, опять же для удобства. Это IPv6, то есть IP 6 версии. Принцип работы остается тем же, а адресов теперь доступно 10 в 28 степени: 79 228 162 514 264 337 593 543 950 336 (cемьдесят девять окталионов двести двадцать восемь септилионов сто шестьдесят два секстилиона пятьсот четырнадцать квинтиллионов двести шестьдесят четыре квадриллиона триста тридцать семь триллионов пятьсот девяносто три миллиарда пятьсот сорок три миллиона девятьсот пятьдесят тысяч триста тридцать шесть. Этого пока должно хватить. В чем разница между статическим и динамическим адресом? Она вытекает из названия - статический адрес не меняется у компьютера и всегда остается одним и тем же, в то время как динамический назначается на определенное время, затем заменяется другим. Зачем это нужно? Дело в том, что если вам нужно попасть на сайт, вам нужно знать его адрес, и если он изменится, то мы не можем его найти. Для этого нужны статические адреса. А вам, как посетителю сайта статический адрес не нужен, подойдет динамический, который вы напишете на конверте в поле отправителя. Так же можно называть IP адреса внутренними и внешними. В чем тут дело. Как мы уже знаем, в IPv4 у нас ограниченное количество адресов - на всех не хватает. А так еще в интернете нельзя иметь два одинаковых адреса, ведь в таком случае нельзя будет однозначно понять кому передавать данные. Но как дать возможность выходить в интернет всем, кто захочет? Переходить на 6 версию? Можно, но это дорого и долго. Тут нам на помощь приходит технология NAT - Network Address Translation, а точнее ее надстройка PAT - Port address translation, суть которой в том, что много устройств могут выходить в интернет с одним и тем же адресом. Но как такое возможно, если мы сказали что нельзя иметь два одинаковых адреса? Суть в том, что у вас есть ваш внутренний адрес, который выдает провайдер, с которым вы находитесь внутри локальной сети, а есть внешний адрес, который провайдер вам дает для выхода в интернет. И основная идея заключается в том, что несмотря на то, что у вас и у других пользователей одинаковые адреса, их можно отличить, благодаря тому, что к адресу добавляется порт, это уникальное значение после двоеточия, которое присваивает провайдер и которое является дополнительным идентификатором, позволяющим различать адреса. Это позволяет решать проблему с нехваткой адресов, и является дополнительным слоем безопасности. Могут ли вас вычислить по IP? Так что насчет вычисления по айпи? Стоит ли беспокоиться по поводу высказываний вашего оппонента в онлайн игре, который уверяет что у него есть брат программист, который сможет вас идентифицировать и найти? Не стоит. Ведь этот айпи адрес нужно сначала найти, но это будет внешний адрес, который есть у тысяч других компьютеров, а сопоставить внешний и внутренний адрес может только провайдер. Кстати, знаешь какой у тебя IP - адрес? А мы знаем 😇 Кликай по ссылке ниже, чтобы тоже узнать 👇 Узнать мой IP
img
В сегодняшней статье рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позволяет создать первичную низкоуровневую защиту нашей IP-АТС - Firewall. Нужно отметить, что попытки создать нечто подобное на ранних версиях FreePBX всё-таки были, но все они не увенчались успехом и заставляли пользователей так или иначе идти на компромиссы для сохранения доступности функционала IP-АТС. Модуль Firewall был разработан с глубоким пониманием существующих проблем и его основной целью является защита “средней”, или другими словами, типовой инсталляции при обязательном сохранении VoIP сервисов. /p> Данный модуль отслеживает и блокирует атаки, пропуская при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открывая и закрывая порты для необходимых транков. Настройка модуля Firewall Перейдём к настройке. Для того, чтобы попасть в модуль, нужно перейти по следующему пути: Connectivity -> Firewall, откроется следующее окно: Чтобы включить модуль, нажмите кнопку Enable Firewall. Обратите внимание, после включения модуля никакие правила ещё не задействованы, их нужно настроить. Первое о чём сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-АТС не является членом “зоны доверия” (Trusted Zone) и предлагает добавить его для исключения возможных блокировок: Для наибольшего понимания, давайте разберёмся с понятием зоны (Zone), которым оперирует модуль Firewall. Все сетевые соединения, поступающие на VoIP-сервер считаются частью зоны. Каждый сетевой интерфейс и данные, поступающие на него принадлежат к определенной зоне. Стандартные зоны делятся на следующие: Reject - Все соединения, относящиеся к данной зоне, запрещены. Обратите внимание, что эта зона по-прежнему принимает RTP трафик, но никакие другие порты по умолчанию не прослушиваются. Трафик данной зоны может быть обработан с помощью Responsive Firewall, о котором будет сказано далее. External - Позволяет только https соединения для доступа к интерфейсу управления и UCP порту, если они определены. Трафик данной зоны может также быть обработан с помощью Responsive Firewall Other - Используется на доверенных внешних сетях, или других хорошо известных сетях. По умолчанию, позволяет получить доступ к UCP, а также обеспечивает нефильтрованный SIP и IAX. Internal - Используется на внутренних локальных сетях, по умолчанию позволяет получить доступ ко всем сервисам IP-АТС. Trusted - Все сетевые соединения данной зоны разрешены. Пропускается весь трафик от доверенной зоны. Именно сюда нам предложат добавить наш IP-адрес при первом включении модуля. Итак, чтобы добавить наш IP-адрес в список доверенных, нужно нажать You can add the host automatically here. Мы попадём во вкладку Preconfigured. Предлагается два варианта, это добавление адреса хоста и добавление подсети Add Host и Add Network соответственно: Проверить, что адрес (или сеть) добавлены в список доверенных можно во вкладке Zones в разделе Networks. В модуле Firewall есть также дополнительный элемент, который отслеживает сигнализационные запросы определённых сервисов и блокирует возможные атаки - Responsive Firewall. Такими запросами могут быть запросы протоколов сигнализации SIP или IAX, например, запросы авторизации или вызова. Когда Responsive включен, то любой сигнализационный пакет исходящий от хоста проходит через Firewall, если после некоторого количества таких пакетов, хост отправлявший их не прошёл успешную регистрацию, то весь трафик от этого хоста сбрасывается на короткий промежуток времени (60 сек). Если после данной блокировки хост продолжает слать пакеты с запросом регистрации и безуспешно пытается зарегистрироваться, то блокируется уже его IP-адрес на 24 часа. Кроме того, если на сервере настроен fail2ban, то система ещё и письмо отправит о данном событии. Чтобы включить данный функционал, на вкладке Responsive нужно нажать на кнопку Enable: Далее необходимо указать, для каких протоколов должен работать данный функционал: Известные IP-адреса или даже целые подсети, которые проявляли подозрительную активность и которые не должны иметь доступа к IP-АТС можно заблокировать во вкладке Zones -> Blacklists. И последний по счёту, но не по значимости, функционал модуля Firewall, о котором хотелось бы рассказать - Safe Mode. Данный функционал позволяет получить доступ к IP-АТС если случайно была применена неправильная конфигурация, которая привела к потере доступа, а доступа к консоли у вас нет. При включении модуля Firewall, Safe Mode уже доступен, но чтобы его активировать, необходимо дважды перезапустить систему. Сначала необходимо выполнить перезапуск один раз, дождаться, пока сервер полностью загрузится, а затем произвести вторую перезагрузку. После чего, система отложит загрузку правил Firewall’а, а вы сможете спокойно убрать ту конфигурацию, из-за которой потеряли доступ. О том, что система находится в Safe Mode, будет говорить огромное уведомление в самом верху страницы, которое исчезнет через пять минут, тогда же запустятся правила Firewall.
img
Зачастую можно столкнуться с задачами, когда необходимо обеспечить доступ к внутренним корпоративным (или домашним) ресурсам из Интернета. В этом случае, нужно выполнить, так называемый "проброс портов". Что это такое, зачем это нужно и как настраивать на примере роутера Mikrotik 951Ui-2HnD – расскажем в данной статье. /p> Как это работает? Давайте представим себе следующую ситуацию – у нас есть корпоративная сеть, в которой пока ещё локально разворачивается сервер IP-телефонии на базе Asterisk, управляется он при помощи графической оболочки FreePBX. Задача состоит в том, чтобы предоставить возможность администратору сервера управлять им из Интернета. Итак, имеем следующую схему: Для начала остановимся на понятии “проброс порта”. Проброс порта – это функционал маршрутизаторов, поддерживающих NAT, который позволяет получить доступ к ресурсам локальной сети, из Интернета по средствам перенаправления трафика определенных портов с внешнего адреса маршрутизатора на внутренний адрес хоста в локальной сети. Иными словами, мы должны настроить на роутере правило, в котором при поступлении TCP запроса на внешний адрес, в данном случае 35.135.235.15 и определенный порт, например 23535, открывался бы доступ к интерфейсу FreePBX, который в данным момент доступен только в локальной сети по адресу 192.168.1.100 и, соответственно на порту 80 (HTTP). Настройка Перейдём к настройке. Заходим на адрес нашего роутера Mikrotik 951Ui-2HnD, видим следующее окно: Скачиваем приложение WinBox. Вводим учётные данные и подключаемся. По умолчанию логин - admin, пароль - пустой. Если у вас уже настроены логин и пароль, то укажите их. Далее необходимо создать NAT – правило. Для этого переходим по следующему пути – на панели управления слева выбираем IP → Firewall → NAT Открывается следующее окно: Нажимаем на +, открывается страница добавления нового NAT- правила. Задаём следующие параметры: Chain → dstnat - направление запроса из внешней сети во внутреннюю. Protocol → tcp, поскольку в нашем случае нужно предоставить доступ к HTTP страничке. Dst.Port → 23535 - это тот самый порт назначения, на который будет отправлять запрос из вне на получение доступа к FreePBX. In.Interface → all ethernet - входной интерфейс. Это интерфейс, которым роутер смотрит в Интернет и на котором он будет прослушивать указанный выше порт. Должно получиться вот так: На вкладках Advanced и Extra настраиваются расширенные опции, такие как лимит по битрейту, политика IPsec, время, в течение которого правило будет активно и так далее. Переходим на вкладку Action и объясняем роутеру, какие действия он должен выполнить при поступлении запроса на указанный порт. Выбираем Action → netmap, то есть трансляция с одного адреса на другой. To Addresses → 192.168.1.100, то есть адрес нашёго FreePBX. И последнее - To Ports → 80, то есть запрос на HTTP порт. Должно получиться так: Далее нажимаем OK и правило готово. Теперь если вбить в адресной строке браузера сокет 35.135.235.15:23535 то мы попадем на страницу авторизации FreePBX.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59