Elastix-11 Firewall

Details
Category: Elastix 4.X/2.X/1.X
Hits: 2122

1. แนะนำ

Elastix จะมี Firewall module ติดตั้งไว้แล้ว แต่ยังไม่ได้เปิดใช้งาน คลิกไปที่ TAB Security → Firewall → Activate Firewall

ก็สามารถใช้งาน Firewall ได้

จากรูป

TAB Delete   ใช้สำหรับลบ rule ที่ไม่ต้องการโดยการคลิกเลือกที่ rule นั้นๆ แล้วคลิก TAB Delete

TAP Deactivate Firewall   ใช้สำหรับยกเลิกการใช้งาน firewall

TAB New Rule   ใช้สำหรับการสร้าง rule ใหม่

ส่วน column ทั้ง 8 มีความหมายดังนี้

Order คือ ลำดับของ rule เมื่อมี Packet เข้ามา Firewall จะใช้ rule ที่ 1 ในการตรวจสอบว่าจะยอมให้ Packet นั้นผ่านไปหรือไม่

ถ้า Packet นั้นสามารถผ่าน rule ที่ 1 ได้ Firewall ก็จะตรวจสอบ Packet ถัดไป แต่ถ้า Packet แรกผ่าน rule ที่ 1 ไม่ได้ Firewall ก็จะใช้

rule ที่ 2 ในการตรวจสอบ ถ้ายังไม่ผ่านก็จะใช้ rule ถัดๆไป ในการตรวจสอบ การจัด order ของ rule ทำได้โดยการคลิกปุ่ม ลูกศรขึ้น ลูกศรลง

Traffic มี 3 แบบ คือ

IN คือ Traffic ที่เข้าสู่ Server

OUT คือ Traffic ที่ออกจาก Server

Forward คือ Traffic ที่เข้าสู่ Server และถูกส่งต่อออกจาก Server ไป

Target มี 3 แบบ คือ

ACCEPT คือ ยอมให้ Traffic ผ่านได้

DROP คือ ไม่ยอมให้ Traffic ผ่าน และไม่แจ้งให้ผู่ส่งทราบ

REJECT คือ ไม่ยอมให้ Traffic ผ่าน แต่จะแจ้งให้ผู้ส่งทราบ

Interface คือ Interface ของ Elastix server

Source Address คือ ip address ต้นทาง

Destination Address คือ ip address ปลายทาง

Protocol คือ protocol สำหรับ rule นั้นๆ

รูปหลอดไฟ สำหรับ activate หรือ deactivate rule นั้นๆ

รูปสมุดโน้ต  สำหรับแก้ไข rule นั้นๆ

 

2. ตัวอย่างการใช้งาน

เราอาจจะเริ่มโดยใช้ Default Firewall ที่มากับระบบ แล้วปิด port ที่ไม่ใช้งาน

- ปิด port IAX1, IAX2 ถ้าไม่ได้ใช้งาน IAX protocol โดยการคลิกที่รูปสมุดโน้ต แล้วเลือก Target เป็น DROP หรือ REJECT

- ปิด port MGCP (Media Gateway Coutual Protocol)

- ปิด ports TFTP, SMTP, HTTP, POP3, IMAD, IMAPS, POP3S

- ปิด ports JABBER / XMPP Openfire

 

3. สรุป

นอกเหนือจาก default rules ที่มากับระบบ เราอาจจะต้องคอนฟิกเพิ่มเติม เช่น กำหนด Source Address, Destination Address ให้รัดกุมขึ้น

รวมถึง SIP username, secret ต้องกำหนดให้ยากขึ้น โดยเฉพาะ SIP secret อาจจะต้องยาว 10-20 ตัว (อักษรตัวเล็ก, อักษรตัวใหญ่, ตัวเลข

และ เครื่งหมายพิเศษ) หรือถ้าจำเป็นต้องมี Remote Extensions ที่มาจาก internet ควรจะติดตั้ง OpenVPN ร่วมกับ Firewall โดยที่ Firewall

จะเปิดเฉพาะ port 1194 UDP ของ OpenVPN เท่านั้น