Installing CSF Firewall Asterisk Based Systems

I have been using CSF firewall for a number of year

s with all flavours of asterisk and touch wood

none have ever been compromised. This is not a comp

lete Guide but will get your system locked

down

Firstly we need to install Webmin and CSF so log in

to console.

wget

http://prdownloads.sourceforge.net/webadmin/webmin-

1.580-1.noarch.rpm

rpm -U webmin-1.580-1.noarch.rpm

Now we will do CSF while we are in console.

wget http://www.configserver.com/free/csf.tgz

tar zxf csf.tgz

cd csf

sh install.sh

If all that went smooth we need to now log into Web

min from your web browser

https://your server ip:10000/

User will be root and whatever pass you set

Now we need to install the CSF Gui into Webmin

Click on Webmin as seen above, you will then see

Click on Webmin modules This will allow us to insta

ll module

Click to browse for the file

If you wish just copy this path and paste it in /et

c/csf/csfwebmin.tgz

Now just click install and leave everything as defa

ults, when done you will now see under system in

Webmin

Click on Configserver

Now we get down to the Nitty gritty of setting our

firewall up, you will need to add your local ip

range into the allow field and click allow to add i

t

Set testing to “ 0 “ this will enable the firewall

out of test mode

Remove inbound ports in TCP and also UDP leave blan

k, this will stop anyone connecting to your

system unless you allow the IP

In UDP outbound I added 1000:65000 just for ease, i

t doesn’t really matter as nothing can connect

until I allow it

Next this is if you use Dyndns names for remote ext

ensions with dynamic IP’s , set Dyndns to 300 to

check for change of address

Also set DYNDNS_IGNORE

= 1 this will ignore dyndns names and allow them

through

Next you really should disable this unless you want

thousand of emails

Next 1 to disable is process tracking or you will g

et flooded with mail

That is all that is needed to lock down your asteri

sk system, so any SIP trunks or remote connections

you will need to add into the allow list

This is a quick rundown so if anyone finds errors o

r has any suggestions feel free to contact me and I

will try to respond when I get some time

dave@itshack.com.au

DaveD

Источник <https://wdpvoip.net.au/pdf/CSF%20Install.pdf>

Настройка iptables для начинающих

iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Для использования утилиты iptables требуются привилегии суперпользователя (root).Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.

1. Что же такое межсетевой экран и зачем он нужен?
Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
2. Принципы работы iptables
Когда пакет приходит на наш межсетевой экран, то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.
В Iptables используется три вида таблиц:

1. Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
2. Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network

Новая версия. Интернет-шлюз Ideco ICS 3.0

В новой версии интернет-шлюза Ideco ICS 3.0 появился современный Веб-интерфейс управления, внедрена технология автоматического обновления, появилась контентная фильтрация, добавлены встроенные средства фильтрации спама, обновлены многие программные модули и расширена поддержка оборудования.

Что нового?

Новый веб-интерфейс управления Автоматическое обновление Контентный фильтр с базой русских сайтов Многоуровневая защита от спама

Поддержка технологий виртуализации Оптимизация и балансировка загрузки каналов Обновлены интегрированные службы и расширена поддержка оборудования

 

Новый веб-интерфейс на базе AJAX

Основным средством управления третьей версией (и последующими релизами Ideco ICS) становится впервые включенный в дистрибутив веб-интерфейс, основанный на технологии AJAX.

Ideco Internet Control Server 2.5

Ideco Software — компания разработчик программного обеспечения Ideco Internet Control Server 2.5 – это универсальный Интернет шлюз с межсетевым экраном и функциями учета трафика. Ideco ICS позволяет быстро и легко настроить качественный доступ в Интернет всем пользователям, сделает работу с Интернет управляемой и безопасной. # Контроль и управление доступом в Интернет # Защита пользователей и сети предприятия # Учет трафика, планирование и ограничение расходов # Прозрачное кэширование, антивирус веб трафика # Фильтрация трафика, блокирование рекламы # Интеллектуальная приоритезация трафика – QoS # Удаленное подключение сотрудников и подразделений # Почтовый сервер с антивирусом и веб-интерфейсом # Корпоративный веб-сервер # Firewall, VPN, NAT, DNS, DHCP, FTP, QoS, Shaper Подробнее... [?] Скачать 70-дневную полнофункциональную пробную версию Ideco ICS 2.5 Что нового в версии 2.5.9 (06.11.2008) Подробнее... [?] Cкачать 70-дневную полнофункциональную пробную версию Ideco ICS 2.5.9 Версия 3.0.0 Cкачать полнофункциональную пробную версию Ideco ICS 3.0 Пробная версия содержит все возможности редакции Enterprise Edition, но может работать без регистрации только ограниченное время. Пробная версия может быть преобразована в бессрочную, как во время пробного периода, так и после его окончания. Подробнее... [?] Версия 3.0.1 Веб-интерфейс: создание LDAP/AD группы пользователей Антиспам: DSPAM база заранее обучена большинству типов спам-рассылок IdecoAgent: возможность указания нескольких серверов Ideco ICS (важно для мобильных пользователей) Сервер: добавлены драйверы AACRAID