SMG-2016 и профиль firewall

[borisk]

Добрый день!

Хочется на internet интерфейсы навесить профили. Поскольку я не нашел в правилах возможности statefull инспектирования, могу ли я предполагать, что statefull по умолчанию? Что мне достаточно только указать входящие правила (и то, исключительно udp 5060), а все остальное система сделает сама?

[Evgeniy]

День добрый.
Это уж слишком крутая штука)
У нас firewall попроще, в зависимости от выставленных правил происходит блокировка пакета по порту или IP

[borisk]

У вас же там linux У вас же там iptables что, conntrack и sip_conntrack выкинули?
Блин... тогда fw профили практически бесполезны

[Женя]

У вас же там linux У вас же там iptables что, conntrack и sip_conntrack выкинули?
Блин... тогда fw профили практически бесполезны

Поясните почему бесполезны? и в чем такая необходимость в conntrack?
Интересно так же мнение остальных читающих данный форум

[borisk]

Смотрите: есть паблик интерфейс, который только инициирует соединения. Соответственно задача - разрешить все исходящее и запретить все входящее, не относящиеся к уже установленным сессиям. И как это сделать без stateful, если исходящие соединения открываются с рандомного порта? То есть фактически мне надо открывать весь трафик с доверенных адресов, как-то так.

[rubicon]

Проблема на мой взгляд несколько надуманна. Запрет всех входящих (вызовов) можно установить на уровне ТГ.
Доступ на критические порты (22, 23, 80, 443, ...) ограничивается без stateful.
Также при использовании stateful возникает вопрос с величиной тайм-аута для UDP-сессий. Если постоянно не долбить пиры сообщениями типа OPTIONS, то stateful файервол может начать дропать входящие сигнальные сообщения для активного звонка.

[borisk]

А тут проблема еще и не в звонках. Проблема в том, что долбят и регистрациями и попытками звонков. И все это грузит и грузит систему. А про ssh/telnet и так далее порты, так на этих интерфейсах мы управление и не поднимаем в принципе.

[rubicon]

Ну как-бы для этого случая есть fail2ban.

[borisk]

Если уж на то пошло, то как бы и SBC есть. Задача - защититься и минимизировать нагрузку на процессор. fail2ban, согласен, решение, но ресурсоемкое. Причем, если я правильно понял доку - у него ограничение на 4k хостов, что, в свете современного интернета просто смешно.
Нет, я не против разрешить весь трафик "белым" хостам. Но тогда было бы логично дать возможность вносить эти белые хосты в таблицу, как для fail2ban.

[Женя]

Если уж на то пошло, то как бы и SBC есть. Задача - защититься и минимизировать нагрузку на процессор. fail2ban, согласен, решение, но ресурсоемкое. Причем, если я правильно понял доку - у него ограничение на 4k хостов, что, в свете современного интернета просто смешно.
Нет, я не против разрешить весь трафик "белым" хостам. Но тогда было бы логично дать возможность вносить эти белые хосты в таблицу, как для fail2ban.

fail2ban вполне себе нормальное решение, не особо оно ресурсоемкое, я бы даже сказал особо не ресурсоемкое
по крайней мере на текущий момент им пользуются достаточно активно.
Вы пробовали его на SMG?
Кстати в версии 3.5.0 мы расширили его функционал, приглашаем попробовать.
По поводу введения новых фич, таких как statefull и т.п., все обсуждаемо

[borisk]

Вот как мне попробовать 3.5.0 если в открытом доступе его нет, а мне ни кто не присылал?

[Женя]

Вот как мне попробовать 3.5.0 если в открытом доступе его нет, а мне ни кто не присылал?

Написать мне в ЛС свои контакты куда отправить

[sersil]

Добрый день.
Имеется SMG2016, абоненты подключатся во внутренней серой сети в отдельном вилане.
Часть абонентов мигрирует и подключает интернет у других операторов, но желая сохранить наши номера.
Хотелось бы открыть SMG для подключения с внешней сети (проброс за нат через маршрутизатор).
Как правильно настроить на SMG файвол, чтобы обезопасить себя от хакерских поползновений ?
Нужно учитывать, что часто у клиентов IP адрес меняется.
Да, SBC вещь наверное хорошая, но шибко дорого стоит.

[Dmitriy_eltex]

Добрый день.
Имеется SMG2016, абоненты подключатся во внутренней серой сети в отдельном вилане.
Часть абонентов мигрирует и подключает интернет у других операторов, но желая сохранить наши номера.
Хотелось бы открыть SMG для подключения с внешней сети (проброс за нат через маршрутизатор).
Как правильно настроить на SMG файвол, чтобы обезопасить себя от хакерских поползновений ?
Нужно учитывать, что часто у клиентов IP адрес меняется.
Да, SBC вещь наверное хорошая, но шибко дорого стоит.

Здравствуйте.
1. Для работы с белыми SIP абонентами лучше завести отдельный интерфейс в разделе "Настройки TCP/IP->Сетевые интерфейсы"
2. Если новый интерфейс предполагается использовать только для телефонии, то отключить на нем все, кроме SIP и RTP.
3. Для защиты от DDoS и от повторных обращений нужно влючить fail2ban, принцип его недавно отписал сюда:
viewtopic.php?f=7&t=6115&p=26658#p26658
4. Для защиты от несакнционированного доступа обязательно применять sip домен и sip авторизацию.
5. Для SIP абонентов со статичным IP адресом обязательно укажите данный адрес.

Для абонентов IP адрес которых будет меняться, такие настройки все равно дадут минимальную безопасность.

[Dmitriy_eltex]

Для абонентов IP адрес которых будет меняться, такие настройки все равно дадут минимальную безопасность.

точнее не для SIP абонентов а для SMG.