SMG-2016 и профиль firewall

[sersil]

Добрый день Дмитрий.
1. Сейчас у меня на SMG приходит 2 вилана - менеджмент и воип. Могу добавить вилан со статик IP, или всё же спрятать за НАТ с пробросом в серую сеть, в которой находится SMG?
2. если будут ддосить - не ляжет ли SMG от большого количества пакетов?
3. Немного не понятно про сип-домен - это должно быть доменное имя, привязанное к внешнему IP, или же некий набор букв-цифр, который прописывается на SMG в свойствах sip-абонента и на абонентском устройстве для бОльшей безопасности?
4. fail2ban включен, прописаны все подсети, с которых регистрируются внутренние абоненты. Если у внешнего абонента статик IP - проблем нет, добавил в список разрешенных, как быть с динамическими адресами?

[Dmitriy_eltex]

Добрый день Дмитрий.
1. Сейчас у меня на SMG приходит 2 вилана - менеджмент и воип. Могу добавить вилан со статик IP, или всё же спрятать за НАТ с пробросом в серую сеть, в которой находится SMG?
2. если будут ддосить - не ляжет ли SMG от большого количества пакетов?
3. Немного не понятно про сип-домен - это должно быть доменное имя, привязанное к внешнему IP, или же некий набор букв-цифр, который прописывается на SMG в свойствах sip-абонента и на абонентском устройстве для бОльшей безопасности?
4. fail2ban включен, прописаны все подсети, с которых регистрируются внутренние абоненты. Если у внешнего абонента статик IP - проблем нет, добавил в список разрешенных, как быть с динамическими адресами?

1. за NAT лучше спрятать в любом случае, параллельно оставить отдельный интерфейс только с VOIP как у вас сайчас;
2. должен сработать fail2ban, smg не будет обрабатывать большое количество пакетов, если заподозрит неладное;
3. да, "некий набор букв-цифр, который прописывается на SMG в свойствах sip-абонента и на абонентском устройстве для бОльшей безопасности"
4. повторюсь, отписывал логику блокировки здесь:
viewtopic.php?f=7&t=6115&p=26658#p26658

Динамические абоненты будут работать нормально, если не будет проблем с их авторизацией. Как только начнут вести себя неправильно, то сразу бан.

[sersil]

Создал отдельный сетевой интерфейс (только SIP и RTP), пробросил вилан, выставил наружу, пока 128 кбит/с,
создал отдельный сип-профиль для этого интерфейса с левым портом для регистрации, пока с 1 активным соединением на сип-профиле,
создал тестового абонента с этим сип-профилем и левым доменом регистрации с ограничением без 8-ки,
зарегал с домашнего IP телефона (на другом интернет-провайдере), всё работает.
fail2ban включен с прогрессивной блокировкой и отрабатывает, за сегодня заблокировал два немецких IP (SIP: Too many requests from address)
На домашнем IP телефоне менял разные параметры - домен регистрации, порт регистрации - fail2ban отрабатывает и банит.
На SMG менял параметры абонента - сип-профиль, домен регистрации - тоже отрабатывает и регистрация не проходит.
Вроде всё работает.

Вопрос по файрволу.
включил drop icmp на внешнем интерфейсе.
какие ещё правила файрвола имеет смысл настроить и включить ?

[Dmitriy_eltex]

Вопрос по файрволу.
включил drop icmp на внешнем интерфейсе.
какие ещё правила файрвола имеет смысл настроить и включить ?

Больше ничего не надо, все что нужно итак закрыто.
А на то что SMG не умеет она итак пошлет "port-unreachable".

[sersil]

Посканировал снаружи nmap-ом:

PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
80/tcp filtered http
443/tcp filtered https
5060/tcp open sip (SIP end point; Status: 404 Not Found)

Почему-то наружу смотрит портом 5060, а не тем левым, что я прописывал для регистрации в сип-профиле WAN (35263)

Вчера тестировал из дома сип-аккаунт, подключенный через WAN.
IP-адрес динамический от провайдера, в белом списке на SMG его нет.
Заметил такую вещь - набираю два раза разные номера для теста, на третий -отбой, IP попадает в блэклист.
Регистрация этого абонента на SMG сразу отваливается.
Добавил этот IP в белый список - вроде как работает, но буду ещё тестить.

[borisk]

Почему-то наружу смотрит портом 5060, а не тем левым, что я прописывал для регистрации в сип-профиле WAN (35263)

А вот про это я уже писал и не раз. Не смотря на то, что в настройках SIP интерфейса мы можем выставить произвольный порт, в общих настройках SIP прописан порт по умолчанию 5060, и вот на нём то SMG в любом случае и слушает все интерфейсы. Для чего - лично для меня загадка. Да, этот порт можно поменять тоже, но зачем он нужен изначально??? На мой взгляд логичнее порт указывать именно в настройках SIP интерфейса и слушать именно на указанных портах.

[Bokrenok]

Почему-то наружу смотрит портом 5060, а не тем левым, что я прописывал для регистрации в сип-профиле WAN (35263)

А вот про это я уже писал и не раз. Не смотря на то, что в настройках SIP интерфейса мы можем выставить произвольный порт, в общих настройках SIP прописан порт по умолчанию 5060, и вот на нём то SMG в любом случае и слушает все интерфейсы. Для чего - лично для меня загадка. Да, этот порт можно поменять тоже, но зачем он нужен изначально??? На мой взгляд логичнее порт указывать именно в настройках SIP интерфейса и слушать именно на указанных портах.

тут дело в эволюционном развитии устройства
давным-давно на заре запуска SMG был только общий порт
а уже потом, сильно позже, появились детализированные по направлениям порты

[borisk]

Человек в процессе эволюции хвост отбросил! Отбросьте и вы порт!