» Asterisk, firewall e porte 10000-20000: tutto spalancato???

ceccus · 25-04-09, 14:12

Buongiorno a tutti,
sto configurando un server con asterisk e firewall a monte e ho capito che ci sono una serie di porte, tipicamente quelle nell'intervallo 10000-20000 UDP, che vanno lasciate aperte e nattate per il protocollo RTP.

Sebbene l'intervallo di porte possa essere modificato e ridotto (es.: 10000-10100), almeno 50-100 di esse dovranno rimanere aperte (credo una per ogni possibile comunicazione contemporanea), mi sembra tutto comunque poco sicuro...

Quando la comunicazione non impegna una singola porta ho problemi (grossi) di sicurezza secondo voi? Se si, come aggirare il problema?

Grazie a tutti e ciao!

khaoss · 11-05-09, 18:50

Ciao,

basta che nelle regole di iptables specifichi gli host src e dst su quelle porte.

In questo modo e' come se mettessi in black list tutti gli ip che non fanno parte dei tuoi src ( source ) a dst ( destination ) hosts.

ceccus · 11-05-09, 20:26

Ciao Khaoss!
Grazie della risposta. Non uso iptables ma pfsense, un firewall dedicato. Devo verificare il numero di IP che posso "far passare" perché i carrier VOIP che gestisco sono 2-3.

Grazie!

25-04-09, 14:12	#1 (permalink)
ceccus Moderatore Data di registrazione: Oct 2006 Messaggi: 913	Asterisk, firewall e porte 10000-20000: tutto spalancato??? Buongiorno a tutti, sto configurando un server con asterisk e firewall a monte e ho capito che ci sono una serie di porte, tipicamente quelle nell'intervallo 10000-20000 UDP, che vanno lasciate aperte e nattate per il protocollo RTP. Sebbene l'intervallo di porte possa essere modificato e ridotto (es.: 10000-10100), almeno 50-100 di esse dovranno rimanere aperte (credo una per ogni possibile comunicazione contemporanea), mi sembra tutto comunque poco sicuro... Quando la comunicazione non impegna una singola porta ho problemi (grossi) di sicurezza secondo voi? Se si, come aggirare il problema? Grazie a tutti e ciao!
	__________________

11-05-09, 18:50	#2 (permalink)
khaoss User Data di registrazione: Mar 2009 Messaggi: 47	Ciao, basta che nelle regole di iptables specifichi gli host src e dst su quelle porte. In questo modo e' come se mettessi in black list tutti gli ip che non fanno parte dei tuoi src ( source ) a dst ( destination ) hosts.
	__________________ Portale italiano di Articles Marketing e Paid to write Ultima modifica di Wolf Otakar : 11-05-09 22:42. Motivo: Maiuscola!

11-05-09, 20:26	#3 (permalink)
ceccus Moderatore Data di registrazione: Oct 2006 Messaggi: 913	Ciao Khaoss! Grazie della risposta. Non uso iptables ma pfsense, un firewall dedicato. Devo verificare il numero di IP che posso "far passare" perché i carrier VOIP che gestisco sono 2-3. Grazie!
	__________________

Condividi questo contenuto nei Social Network:		Tweet
Ti stiamo aspettando: Registrati subito e gratis. Entra a far parte di una delle comunità più attive in Italia. Se hai dimenticato i tuoi dati li puoi recuperare subito.

Strumenti di discussione
Visualizza la versione stampabile Invia la pagina tramite email