© Никоноров М.Ю, 2014 
64 
7.2 Запрещаем чужакам SIP подключение
Сделаем так, чтобы софтфон (или обычный телефон) мог подключаться к Asterisk ТОЛЬКО ЕСЛИ ОН 
НАХОДИТСЯ ВНУТРИ НАШЕЙ ЛОКАЛЬНОЙ СЕТИ. 
Для этого: 
nano /etc/asterisk/sip.conf 
и для КАЖДОГО sip-клиента добавляем строчки: 
deny=0.0.0.0/0.0.0.0 
permit=192.168.0.1/24 
allowguest=no 
call-limit=2; 
Покажу на примере [1001]. У меня это выглядит так: 
[1001] 
deny=0.0.0.0/0.0.0.0 
permit=192.168.0.1/24 
type=friend 
host=dynamic 
insecure=invite 
username=1001 
secret=1234 
context=outcoling 
disallow=all 
allow=alaw 
mailbox=1001@default 
language=ru 
allowguest=no 

© YouTube канал DarkMaycal Sysadmins, 2014 
65 
где 
deny=0.0.0.0/0.0.0.0 - запрещаем подключение к sip клиенту с любых адресов 
permit=192.168.0.1/24 - разрешаем подключение к sip-клиенту ТОЛЬКО ЕСЛИ запрос подключения 
инициализирован из нашей локальной сети (начиная 192.168.0.1 и заканчивая 192.168.0.255) 
allowguest=no - запрещаем неавторизованным гостям подключаться к нашему sipу и требуем 
аутентификацию 
call-limit=2 - означает, что одновременно могут звонить используя этот sip только 2 человека (два 
потока) 
Далее сохраняем и делаем core reload 
Примечание: строка 192.168.0.1/24 вовсе НЕ означает следующее: 192.168.0.1-192.168.0.24. Она 
означает следующее: 192.168.0.1-192.168.0.255 
Понятно, что если у Вас сеть в другом диапазоне, Вы указываете другой диапазон, например 
192.168.1.1/24 
Все. Теперь, если кто-нибудь из Африки введет в софтфон наш внешний ip-шник - он не сможет 
зарегистрировать свой софтфон даже зная логин, пароль и порт к sip-клиенту, потому, что разрешено 
подключение ТОЛЬКО ЕСЛИ запрос происходит изнутри нашей локальной сети 

Download 1.04 Mb.

Do'stlaringiz bilan baham: