Конфигурация локального межсетевого экрана

Конфигурация локального межсетевого экрана

Если межсетевой экран ip-таблиц используется на одном компьютере с сервером Asterisk, выполнив следующие команды, можно открыть порт 5060 для обмена сигналами по протоколу SIP и порты от 10000 до 20000 для RTP-трафика. Также диапазон RTP-портов можно сузить в файле rtp.conf, находящемся в папке /etc/asterisk. Замечательная книга по организации межсетевых экранов с помощью ip-таблиц - «Linux Firewalls» (издательство Novell Press) Стива Суэринга (Steve Suehring) и Роберта Циглера (Robert Ziegler).

# iptables -I RH-Firewall-1-INPUT -p udp --dport 5060 -j ACCEPT

# iptables -I RH-Firewall-1-INPUT -p udp --dport 10000:20000 -j ACCEPT

# service iptables save

Помните, что это откроет порты 5060 и от 10000 до 20000 для всего UDP-трафика из любого источника.

deny=0.0.0.0/0

permit=10.251.55.100/32

insecure=invite

Большинство приведенных настроек должны быть вам знакомы, но если нет, далее дается их краткое описание.

Задавая тип peer, мы указываем Asterisk, что при получении сообщения INVITE (Приглашение) (когда поставщик присылает вызов) нужно сравнивать не имя [мой поставщик сервисов], а IP-адрес, указанный в этом сообщении. Параметр host - это IP-адрес, на который мы будем направлять наши вызовы, и этот IP-адрес будет сопоставляться при получении вызова от поставщика.

Параметр fromuser (от пользователя) влияет на то, как структурировано наше сообщение INVITE при отправке вызова поставщику сервисов.