Тема: как защитить TDE 100 от атак из интернета
Мы для этих целей в чужой сетке используем шлюз безопасности Juniper SRX240H.
Требуется отфильтровать RTP(голосовые) пакеты по портам 16000 + п(кол-во SIP-транков*2) - IP-адрес DSP, и пакеты сигнализации (порт 3560/5060, IP-адрес проца).
Советы полуграмотных сетевых администраторов могут принести больше вреда, чем пользы. Впрочем, топикстартер сам выбирает свой путь 😊
А пока что-то подобное:
- Посоветуйте, как уберечься от простуды?
- Нужно носить шерстяные носки. А ещё шарф.
Совет выше похож как по детализации, так и по сути.
Тема про платный саппорт как я понимаю. Это можно сделать на микротике или циске например или любом другом адекватном сетевом экране..
интересует настройка микротика. интересно как фильтровать порты не уводят АТС за Nat? можно список портов которые должны быть открытыми для нормальной работы sip. понятно что порты управления для внешней сети нужно закрыть. и еще не совсем понятен смысл галочки удаленное программирование. если её выключаешь АТС все равно доступна из интернета.
Микротик - хорошая тема! Я постараюсь сегодня написать статью про построение аналога fail to ban на нем.
Там не сложно через Layer7 фильтрацию.
интересует настройка микротика. интересно как фильтровать порты не уводят АТС за Nat? можно список портов которые должны быть открытыми для нормальной работы sip.
Если АТС за NATом вообще ничего не открывайте. SIP-телефоны все равно работать не будут. А для транков вполне хватит динамических правил.
Не уводя за NAT можно даже на управляемом коммутаторе сделать, через ACL.
SIP-телефоны все равно работать не будут.
Да ну нафиг. Могу настроить, чтоб работали. На ASA точно можно сделать.
Убрал АТС за NAT c фаерволлом. Работает нормально, извне не доступна. Тему можно закрыть.
и внутри NAT может пучить если роутик с ALG кривоват. К слову.
