NextPBX 本身是一個網路電話交換系統 (IP PBX),這匯集了所有網路分機、外撥路由及進線路由,一旦將 NextPBX 接上網際網路,潛藏的風險就開始存在,所以我們不建議 NextPBX 使用 PPPoE 連線(雖然系統有支援),或者設定為公眾網路 IP 位址,這些都可能對 NextPBX 的安全造成很大的威脅。
為了安全考量,你的內部網路必須有網路防火牆的設置,假使所有的網路分機都在內部網路,也就是說沒有遠端分機的需求時,你的網路防火牆完全不用開啟 port forwarding,不過,當你有遠端分機的需求時,網路防火牆必須做一些相應的設置,並且 NextPBX 也有一些設定需要做,此外,一旦網路防火牆開啟 port forwarding,NextPBX 就有可能遭遇到 SIP 暴力攻擊的風險。
為此,我們在新版韌體加上了防衛的機制,這個機制會偵測無效的 SIP 註冊連線,然後自動將所發現的來源位址封鎖,此功能預設是關閉的,如果要開啟,請按以下步驟來做:
1. 登入 telent
2. 編輯檔案 /root/auto-banips.sh
ippbx="192.168.1.13" #your nextpbx ip address local_net="192.168.1." #your local network whitelist_ips="" #Whitelist of IPs
ippbx NextPBX 的IP 位址
local_net 本地端的網路,假設是 192.168.1.xx, 就填上 192.168.1. (結尾有個點)
whitelist_ips 這是選擇性參數,如果需要排除偵測的 IP 位址可以填這裡,多個IP時用空格做區隔
3. 編輯檔案 /etc/crontab
# auto-banips, uncomment this line to enable the feature #*/5 * * * * root sh /root/auto-banips.sh <==== 將這行的註解移除掉
4. 重啟 NextPBX 就完成了
使用注意:
如果不小心造成系統封鎖了自己的 IP,必須將機器重啟後,就可以再登入。
Images 0 | ||
---|---|---|
No images to display in the gallery. |