Поговорим о сетевых портах, которые необходимо открыть на вашем брандмауэре для корректного доступа пользователей и работы конечных устройств. В статье показаны порты по умолчанию и порты, и с точки зрения безопасности мы рекомендуем вам заменить их на нестандартные порты.
ДОСТУП АДМИНИСТРАТОРА СИСТЕМЫ
ДОСТУП ДЛЯ SIP/IAX УСТРОЙСТВ
ДОСТУП К UCP (USER CONTROL PANEL)
ДОСТУП АДМИНИСТРАТОРА СИСТЕМЫ
| Порт | Транспорт (UDP/TCP) | Назначение | Смена порта | Безопасность | Дополнительно |
|---|---|---|---|---|---|
| 22 | TCP | Подключение к SSH консоли | Может быть изменен только через Linux CLI | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Порт используется для SSH подключения к АТС извне |
| 80 FreePBX 2001 PBXact | TCP | Графический интерфейс по HTTP (не HTTPS) | Можно поменять через графический интерфейс по пути System Admin > Port Management | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Используется для пользовательского доступа к WEB - интерфейсу АТС |
| 443 | TCP | Графический интерфейс по HTTPS | Можно поменять через графический интерфейс по пути System Admin > Port Management | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Используется для пользовательского доступа к WEB - интерфейсу АТС. Использует SSL шифрование |
ДОСТУП ДЛЯ SIP/IAX УСТРОЙСТВ
| Порт | Транспорт (UDP/TCP) | Назначение | Смена порта | Безопасность | Дополнительно |
|---|---|---|---|---|---|
| 5060 | UDP | Порт получения телефонной сигнализации модулем chan_PJSIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Стандартный порт для сигнализации модуля chan_PJSIP |
| 5061 | Порт получения защищенной телефонной сигнализации модулем chan_PJSIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Защищенный порт для сигнализации модуля chan_PJSIP | |
| 5160 | UDP | Порт получения телефонной сигнализации модулем chan_SIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Стандартный порт для сигнализации модуля chan_SIP |
| 5161 | Порт получения защищенной телефонной сигнализации модулем chan_SIP | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Защищенный порт для сигнализации модуля chan_SIP | |
| 10000-20000 | UDP | Получение RTP потока в рамках SIP сессии | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Можно открывать данные диапазон и, зачастую, это является требование SIP - провайдеров (RTP трафик зачастую приходит с различных IP - адресов)ё | Порты, необходимые для голосовой составляющей телефонного звонка |
| 4569 | UDP | Работа протокола IAX | Есть возможность изменить порт в рамках графического интерфейса АТС в модуле SIP Settings | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Используется для транкового объединения серверов и оконечных устройств. |
ДОСТУП К UCP (USER CONTROL PANEL)
| Порт | Транспорт (UDP/TCP) | Назначение | Смена порта | Безопасность | Дополнительно |
|---|---|---|---|---|---|
| 81 | TCP | Графический интерфейс UCP по HTTP (не HTTPS) | Порт можно поменять через FreePBX в System Admin > Port Management | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие). Для удаленных пользователей используйте HTTPS | Порт доступа к пользовательской панели UCP |
| 4443 | TCP | Графический интерфейс UCP по HTTPS | Порт можно поменять через FreePBX в System Admin > Port Management | Можно оставлять открытым в сеть, так как трафик шифрован, а так же происходит аутентификация пользователей | Порт доступа к пользовательской панели UCP с помощью SSL шифрования |
| 8088 | TCP | Порт для WebRTC клиентов | Порт можно поменять через FreePBX в Advanced Settings > Asterisk Builtin mini-HTTP > HTTP Bind Port | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие). Для удаленных пользователей используйте HTTPS | Необходим для реализации WebRTC звонков через UCP (звонок через броузер) |
| 8089 | TCP | Порт для шифрования WebRTC клиентов | Порт можно поменять через FreePBX в Advanced Settings > Asterisk Builtin mini-HTTP > HTTPS Bind Port | Можно оставлять открытым в сеть, так как трафик шифрован, а так же происходит аутентификация пользователей | Необходим для реализации WebRTC звонков с шифрованием через UCP (звонок через броузер) |
| 8001 | TCP | Node Server - получение информации в реальном времени в рамках UCP | Порт можно поменять через FreePBX в Advanced Settings > UCP NodeJS Server > NodeJS Bind Port | Не рекомендуется оставлять порт открытым в публичную сеть (не вызывающую доверие) | Процесс отвечает за real - time активности: всплывающая информация, чаты и прочее |
| 8003 | TCP | Node Server (защищенные подключения) | Порт можно поменять через FreePBX в Advanced Settings > UCP NodeJS Server > NodeJS HTTPS Bind Port | Можно оставлять открытым в сеть, так как трафик шифрован, а так же происходит аутентификация пользователей | Процесс отвечает за real - time активности: всплывающая информация, чаты и прочее |