[КАК СДЕЛАТЬ] Полное руководство по установке брандмауэра FreePBX

Table of Contents

FreePBX Hosting Blog

Gain important information on the world’s most popular open-source IP PBX.

Note: This post assumes you’re running FreePBX Distro 13 or higher. If you’re not, ask about our Managed Upgrade service.

The first thing you should do after completing the FreePBX Setup Wizard is to finish configuring the firewall. To access the firewall choose Connectivity, Firewall:

The first thing that we will do is to enable the “Responsive” features. The responsive feature dynamically adds an IP address to the firewall once a phone has successfully connected from the IP. The IP will be automatically removed if/when the phone disconnects.

Click on the “Responsive Firewall” tab:

There are two ways for phones to connect to the PBX:

We highly suggest that you enable both pjsip and chan_sip by clicking on the Enabled button (they will then turn dark blue). This future proofs the setup regardless of which method you choose.

Adding the FreePBXHosting.com NOC range is optional, but if it is not done our support staff will be unable to access your PBX.

Click on the “Networks” tab:

Repeat the process to add your own network(s) if needed. Your networks tab should now look like this:

The last step is to click on the “Interfaces” tab to change the zone for your PBX’s network interface:

We need to change “eth0” from the “Trusted” zone to the “Internet” zone by selecting it from the dropdown under “Default Zone”. Click “Update Interfaces” at the bottom right to confirm the change.

Important: to apply your changes to a running system right away, either disable/re-enable the firewall or restart FreePBX.

Your firewall is now set up and configured and you can begin to configure your PBX!

Время на прочтение

Начиная знакомство с FreePBX, даже опытные системные администраторы зачастую допускают одни и те же ошибки, которые способны серьезно испортить настроение и отбить всякое желание продолжать освоение этой системы.

В первую очередь, безусловно, это ошибки, связанные с безопасностью станции. Помните, что подключаясь к оператору телефонии вы несете полную финансовую ответственность за звонки, даже если на самом деле вы их не совершали! Давайте посмотрим, что нужно сделать в первую очередь, а чего делать категорически нельзя.

Сразу же после установки системы необходимо отключить возможность приема гостевых и анонимных звонков, если, конечно, вы не собираетесь их использовать. В противном случае, вы фактически предоставляете возможность любому человеку осуществлять звонки через вашу станцию, что может привести к значительным финансовым потерям.

Несмотря на то, что FreePBX постоянно обновляется, и разработчики прикладывают большие усилия к обеспечению безопасности системы, периодически обнаруживаются уязвимости в коде, используя которые злоумышленники могут получить, например, параметры доступа к вашим операторам связи. Несмотря на то, что в таком случае звонки будут поступать не с вашей станции, оператор, скорее всего, потребует оплаты именно с вас. Поэтому не следует забывать о защите веб-интерфейса: если сервер установлен в вашей локальной сети, не стоит пробрасывать 80 порт наружу — для удаленной настройки вы можете использовать vpn, ssh-тоннель или любой другой способ доступа. Если же FreePBX установлен на удаленном сервере или по какой-то другой причине имеет прямой доступ в сеть, можно ограничить возможность подключения по 80 порту на уровне iptables, а также использовать парольную защиту Basic Auth как дополнительное средство обеспечения безопасности.

В случае, если вы установили FreePBX с официального образа, вам нужно будет отредактировать файл

В самый конец, перед последней строкой нужно добавить следующее

Обратите внимание на путь к файлу .htpasswd — вы можете задать любой путь для его хранения. Затем потребуется собственно создать аккаунт. Перейдя в выбранную директорию, выполните

service httpd reload

И проверьте результат:

Бывают ситуации, когда ограничить пользователя по ip не представляется возможным — например, аккаунт используется с мобильного телефона, из разных 3g, 4g, и wifi-сетей. В таком случае, в первую очередь, проверьте надежность ваших паролей. Запомните, даже на “пустой” станции, даже для тестирования, никогда не нужно ставить пароли типа qwerty, ведь забыть впоследствии о таком аккаунте проще простого, как и подобрать такой пароль.

Необходимо задуматься и о переборе паролей. Естественно, если ваш сервер обслуживает клиентов из одной сети и подключается к одному оператору связи, вы можете и даже должны ограничить возможность подключения к sip-порту (обычно, 5060) для всех, кроме известных адресов своих сетей и провайдеров, например, так, если вы устанавливали FreePBX вручную

-A INPUT -s xxx.xxx.xxx.xxx/32 -p udp -m udp —dport 5060 -j ACCEPT
-A INPUT -s yyy.yyy.yyy.yyy/32 -p udp -m udp —dport 5060 -j ACCEPT
-A INPUT -p udp -m udp —dport 5060 -j DROP

Или воспользоваться встроенным модулем веб-интерфейса Firewall, если вы установили систему с официального образа. Вы можете задать доверенные и внешние сети вручную в меню

И затем определить, к каким сервисам будет открыт доступ в закладке

В официальной сборке FreePBX система защиты от перебора паролей уже установлена и настроена. Заблокированные адреса можно найти в закладке

Очень часто, особенно в небольших организациях, когда используется только один провайдер, системные администраторы не уделяют внимания грамотной настройке исходящих маршрутов, ограничиваясь шаблоном X., разрешая таким образом всем пользователям звонить на любой номер телефона. Даже если полностью исключить возможность совершения звонков злоумышленниками, нельзя забывать о том, что пользователь может просто ошибиться и позвонить куда-нибудь в Доминиканскую республику, так что ограничивать исходящие звонки нужно в обязательном порядке. Обычно достаточно добавить шаблоны вызова городских и мобильных номеров телефонов, для РФ маршрут может выглядеть так:

Здесь мы задаем, что номер должен быть 11-значным, начинаться с 8, и вторая цифра должна быть 3,4,8 или 9, что полностью перекрывает все Российские номера, а также разрешаем звонить через этот маршрут только внутренним номерам 100-199. В случае, если кому-то из сотрудников нужно открыть международные звонки, следует добавить дополнительный маршрут для него перед основным, и обязательно в поле CID указать его номер или шаблон номеров, если таких сотрудников несколько.

А также стоит всегда указывать количество одновременных исходящих вызовов в настройках транков, особенно в том случае, если они не ограничены на стороне оператора (10 сотрудников никак не смогут сделать 100 исходящих вызовов), а вот в случае несанкционированных звонков взломщики пытаются звонить в максимальное количество потоков.

Следующая частая ошибка — создание очереди звонков без ограничения по времени и без условия “покидать пустую очередь”. Особенно опасно такое действие, если вы используете номер 8-800 с оплатой за входящие — определенный отдел может остаться без связи (завис свитч, пропал свет, крысы съели витую пару), а входящие звонки для него будут продолжать поступать на очередь, и особо упорные звонящие могут ждать на линии часами.
Неприятности могут возникнуть и в том случае, если вы не используете 8-800, но оператор связи ограничивает количество одновременных входящих звонков, или используются медные линии или поток. В таком случае ресурс канала будет расходоваться просто на проигрывание музыки вызывающим абонентам, и в итоге может возникнуть ситуация, когда все ваши входящие каналы заняты ожидающими в пустой очереди. Именно поэтому нужно всегда ограничивать время ожидания в очереди и не допускать звонков в пустых очередях.

Голосовые приветствия и голосовые меню — безусловно, полезные и нужные функции, используемые почти каждой организацией, решившей перейти на FreePBX, но и при их настройке часто допускаются ошибки. Во-первых, модуль Приветствие, то есть просто воспроизведение голосового ролика, который нельзя пропустить (или можно пропустить по нажатию клавиши, о чем обычно забывают уведомить пользователя), стоит использовать только тогда, когда в этом есть насущная необходимость. Мне доводилось видеть как в Приветствие помещают ролик длительностью одна минута, и только после него следует IVR с предложением выбрать нужный отдел. Когда клиент звонит в первый раз, это воспринимается нормально, но когда он перезванивает пятый раз за час, и пятый раз подряд слушает о том, как компания рада его звонку, он начинает сомневаться в этом. Клиент уже точно знает, что ему нужно нажать кнопку 2 и переключиться на нужный отдел, но его раз от раза заставляют прослушать приветствие целиком. По максимуму сократите использование Приветствий, используйте IVR и разрешите прямые наборы — это позволит сократить время ожидания клиента и не раздражать его.

Еще при создании Интерактивного меню IVR часто забывают сменить настройки по умолчанию, касающиеся неверного набора — при нажатии клавиши, которая не описана в правилах, ролик повторяется несколько раз. Такое поведение уместно только в случае, если выбор должен быть сделан обязательно (крайне редкий случай), и совершенно неуместно в первом, приветственном голосовом меню. Отключайте повторы голосового меню и переводите звонок на назначение, используемое по умолчанию: на секретаря, в очередь менеджеров и так далее. То же касается и тайм-аута набора.

Если вы не уверены в том, что на вашем FreePBX исключены эти и другие ошибки, и хотите чувствовать себя в безопасности, обратитесь к нам, и профессионалы с многолетним опытом работы в сфере ip-телефонии проведут аудит системы и исправят все допущенные ошибки.

Базовая конфигурация

Settings — Asterisk SIP Settings
External Address: 172.16.1.100+X
Local Networks: 172.16.0.0 / 16
Local Networks: 10.0.0.0 / 8

Установка

# ifconfig eth0 inet 172.16.1.100+X/24

# route add default gw 172.16.1.254

Процесс начальной конфигурации

Connectivity — Firewall — Disable Firewall

# systemctl stop fail2ban

Звонки в «город»

Your Public IP Address: 45.91.203.94

Note: The instructions below will automatically insert this IP address, be sure to change it as needed.

Get Connected via VNC

fwconsole firewall trust 45.91.203.94

fwconsole firewall stop

fwconsole firewall start

Unblock yourself from Intrusion Detection’s most common jails

fail2ban-client set pbx-gui unbanip 45.91.203.94

fail2ban-client set ssh-iptables unbanip 45.91.203.94

fail2ban-client set asterisk-iptables unbanip 45.91.203.94

fail2ban-client set recidive unbanip 45.91.203.94

Find out why you got blocked by fail2ban

For the asterisk-iptables jail:

grep 45.91.203.94 /var/log/asterisk/fail2ban*

For the ssh-iptables jail:

grep 45.91.203.94 /var/log/secure*

For the pbx-gui jail:

grep 45.91.203.94 /var/log/asterisk/freepbx_security.log*

Enable the Firewall

Out of the box, the FreePBX firewall is not enabled because otherwise, you’d likely not be able to access the server to configure it. So this is one of the first things you’ll want to attend to. If you’ve already enabled the firewall during the first run wizard, you can skip to the next step.

How to avoid getting blocked in the first place

This can be done via the command line using “fwconsole firewall”. For instructions, type “fwconsole firewall –help”.

Управление телефонными номерами и пользователями

extension,name,secret
401,Ivan Ivanov,tpassword401
403,Sidor Sidorov,tpassword403

Звонки в «соседний офис»

What Blocked Me?

If you’ve suddenly lost access to the server, this is the most likely culprit. Intrusion Detection scans log files and looks for failed login attempts and other types of unauthorized access, and then temporarily bans the IP of the “attacker”.

FreePBX Responsive Firewall

The FreePBX firewall includes some blacklisting/rate-limiting features, though these are less aggressive. What is likely to happen relative to the firewall is that your ISP recently changed your public IP address, or you’ve otherwise changed networks. The FreePBX firewall, if properly configured, should only allow trusted networks and/or known endpoints to access the system.

How did I become blocked?

Enforce Firewall Rules

Now that you’ve trusted your network, you need to enforce the FreePBX Firewall’s rules by placing your public facing network interface in the “Internet” zone. On hosted PBXs this is typically “eth0”.

This effectively enables the firewall for all traffic on eth0. If you have other interfaces configured they may appear here as well and can be assigned different zones. For example, if you have a LAN interface or a VPN, you could assign it to “Local” or “Trusted”.

Использование файлов конфигурации

# cat /etc/asterisk/extensions_custom.conf