Порты для freepbx

ya · Сообщение ya » Сегодня, 15:48

Для стабильной работы FreePBX (и Asterisk в целом) важно понимать, что проброс портов — это палка о двух концах. С одной стороны, это нужно для связи с внешним миром, с другой — это главная лазейка для хакеров, которые хотят совершать звонки за ваш счет.

Вот базовый список портов, которые обычно требуют настройки:

---

### 1. Сигнальные порты (SIP)
Эти порты отвечают за "установление связи" (звонок, отбой, переадресация).
* **UDP 5060** — Стандартный порт для SIP.
* **UDP 5061** — SIP поверх TLS (если используете шифрование).
* **UDP 5160** — Часто используется во FreePBX для драйвера **Chan_SIP** (в то время как 5060 обычно отдан под **PJSIP**).

### 2. Голосовой трафик (RTP)
Эти порты передают непосредственно сам голос. Если их не пробросить, вы столкнетесь с проблемой **"односторонней слышимости"** или полной тишины.
* **UDP 10000–20000** — Стандартный диапазон для Asterisk.
> **Важно:** Диапазон должен совпадать с тем, что указано в настройках FreePBX (*Settings -> Asterisk SIP Settings -> RTP Settings*).

### 3. Дополнительные сервисы
Если вам нужен удаленный доступ к управлению или другим функциям:
* **TCP 80 / 443** — Веб-интерфейс управления (Admin UI) и UCP (панель пользователя). **Крайне не рекомендуется** открывать их для всего мира.
* **UDP 4569** — Протокол **IAX2**. Используется для объединения двух серверов FreePBX между собой (Trunking).
* **TCP 5038** — Asterisk Manager Interface (AMI). Только для доверенных приложений.

---

### Сводная таблица

| Сервис | Порт | Протокол | Зачем это нужно |
| :--- | :--- | :--- | :--- |
| **SIP** | 5060, 5061, 5160 | UDP | Регистрация телефонов и транков |
| **RTP** | 10000–20000 | UDP | Передача голоса |
| **IAX2** | 4569 | UDP | Связь между АТС (если есть) |
| **HTTP/S** | 80 / 443 | TCP | Управление через браузер |

---

###

Меры безопасности (Обязательно к прочтению)

Открывать SIP-порты (5060) "в мир" — это как оставить ключи в замке зажигания в плохом районе. Чтобы вашу АТС не взломали в первую же ночь:

1. **Ограничение по IP:** В настройках брандмауэра (Firewall) на роутере разрешайте входящие соединения на порт 5060 **только от IP-адресов вашего провайдера связи**.
2. **Встроенный Firewall:** Обязательно включите и настройте модуль **System Admin -> Firewall** внутри FreePBX.
3. **Responsive Firewall:** Если у вас есть удаленные сотрудники с динамическими IP, используйте функцию *Responsive Firewall* во FreePBX — она автоматически блокирует тех, кто подбирает пароли.
4. **Сложные пароли:** Забудьте про пароли вроде `123`, `101` или `password`. Используйте длинные буквенно-цифровые комбинации для всех Extension (внутренних номеров).