Firewall
如何選擇一個開源的、對 Asterisk 友好的防火牆?
我很痛苦。
我們正在轉向基於 SIP 的 VOIP 系統,無論出於何種原因,我們都無法讓我們託管的 Asterisk 解決方案與我們的 Sonicwall 一起工作。我們的 VOIP 提供商放棄了並推薦了一個開源供應商 pfSense。
一點背景:
- 我們的網路中有大約 30 個使用者。
- 我們為遠端網路使用了一些 IPSec VPN 連接。
- 我想要但不需要應用層過濾。
- 我們是活躍的網際網路使用者,因此正確的流量整形可能是一個問題。
我如何判斷開源防火牆是否可以通過託管的 Asterisk 系統順利處理 VOIP 設置?
目前嘗試使用 Sonicwall 進行設置
- 我們使用的是執行 SonicOS 增強版 4.2 的 TZ 190
- 啟用一致的 NAT
- 我們沒有使用 SonicWall 的自動 SIP 轉換。圖片連結:http ://cl.ly/1Q3A3K3C1M1Z322I1M2L
- 防火牆已打開以允許來自我們的 VOIP 提供商的所有內容,以及所有 SIP UDP 和 TCP:圖片連結:http ://cl.ly/310b07271R0c2s2c3L1g(@Tom O’Conner 指出這可能是一個問題。)
- 更多細節稍後發布……
PFsense 可以做到這一點。老實說,任何防火牆都應該能夠原封不動地通過 SIP 和 RTP。
SIP 只是發起呼叫的機制,所以這只是問題的一部分。RTP 是語音流量本身的協議。一些 VoIP 電話可以使用 UPnP 與防火牆對話,並在進行呼叫時動態配置埠轉發。
PFsense 也可以做 QoS,但我不確定它實現得有多好(我最近一直在配置 PFsense,還沒有到 QoS!)
這可能是一個有趣的讀物,NAT + VoIP(來自VoIP-info.org)。您可能想要做的事情是將入站 SIP 連接限制為僅來自您的提供商的 SIP 網關,否則討厭的人傾向於連接,並在您的帳戶上撥打昂貴的電話。確保您還鎖定了電話的其他埠,例如 HTTP(S) 和 Telnet。我曾經在一家公司發現了一個有趣的安全漏洞,它可以通過 telnet 進入公共 SIP 電話,然後通過 ssh 連接到網路上。
您還應該考慮為語音流量使用單獨的 VLAN。這有助於 QoS 和消除抖動。