Инструменты пользователя

Инструменты сайта


компендиум

iptables for asterisk

Данный мануал описывает настройку iptables в операционной системе CentOS 7 и выше.
В примере будет использована сетевая карта с именем ens192

Для начала посмотрим на текущею конфигурацию фаервола

iptables -vL -n

Где:

  • v – увеличивает подробность сообщений
  • L – показать все правила в цепочке
  • n – отключает определение имен DNS

Отключение firewalld

Первым делом отключим firewalld, который присутствует в centos 7 по-умолчанию сразу после установки

systemctl stop firewalld
systemctl disable firewalld

После этого на сервере настройки сетевого экрана становятся полностью открытыми.

Сброс всех цепочек

Чтобы сбросить все цепочки правил – то есть, удалить все правила фаервола, – используйте опцию –F (или –flush) без дополнительных параметров.

iptables -F

Пример конфигурации для SIP телефонии

iptables -N SIP
iptables -A SIP -i ens192 -s 192.168.99.0/24 -j ACCEPT
iptables -A SIP -i ens192 -s sip.ipport.net -j ACCEPT
iptables -A SIP -j RETURN
 
iptables -A INPUT -p tcp --dport 22 -j SIP
iptables -A INPUT -p tcp --dport 80 -j SIP
iptables -A INPUT -p icmp --icmp-type 8 -j SIP
iptables -A INPUT -p udp --dport 5060 -j SIP
iptables -A INPUT -p udp --dport 36600:39999 -j SIP
iptables -A INPUT -p udp --dport 4569 -j SIP
iptables -A INPUT -p udp --dport 69 -j SIP
iptables -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP

--state RELATED,ESTABLISHED – Пропуск ответного трафика, если он был инициирован на стороне нашего сервера.

Сохраняем правила фаервола

service iptables save

Если при попытке сохранения получаем сообщение типа:

The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

То тогда стоит установить пакет iptables-services

yum install iptables-services

И добавляем iptables в автозагрузку

chkconfig iptables on

Импорт/Экспорт правил

#  Сохраняем введенные правила в файл firewall_rule
iptables-save > /etc/sysconfig/firewall_rule
 
# Востанавливаем правила из файла
iptables-restore < /etc/sysconfig/firewall_rule

Просмотр работы фаервола в реальном времени

Делается это с помощью утилиты watch

watch -n 0.1 iptables -vL -n
компендиум.txt · Последнее изменение: 2021/06/01 13:51 — admin