NextPBX 系統安全

NextPBX 本身是一個網路電話交換系統 (IP PBX)，這匯集了所有網路分機、外撥路由及進線路由，一旦將 NextPBX 接上網際網路，潛藏的風險就開始存在，所以我們不建議 NextPBX 使用 PPPoE 連線(雖然系統有支援)，或者設定為公眾網路 IP 位址，這些都可能對 NextPBX 的安全造成很大的威脅。

為了安全考量，你的內部網路必須有網路防火牆的設置，假使所有的網路分機都在內部網路，也就是說沒有遠端分機的需求時，你的網路防火牆完全不用開啟 port forwarding，不過，當你有遠端分機的需求時，網路防火牆必須做一些相應的設置，並且 NextPBX 也有一些設定需要做，此外，一旦網路防火牆開啟 port forwarding，NextPBX 就有可能遭遇到 SIP 暴力攻擊的風險。

為此，我們在新版韌體加上了防衛的機制，這個機制會偵測無效的 SIP 註冊連線，然後自動將所發現的來源位址封鎖，此功能預設是關閉的，如果要開啟，請按以下步驟來做:

1. 登入 telent

2. 編輯檔案 /root/auto-banips.sh

ippbx="192.168.1.13"      #your nextpbx ip address
local_net="192.168.1."    #your local network
whitelist_ips=""          #Whitelist of IPs

ippbx NextPBX 的IP 位址
local_net 本地端的網路，假設是 192.168.1.xx, 就填上 192.168.1. (結尾有個點)
whitelist_ips 這是選擇性參數，如果需要排除偵測的 IP 位址可以填這裡，多個IP時用空格做區隔

3. 編輯檔案 /etc/crontab

# auto-banips, uncomment this line to enable the feature
#*/5 *   * * *   root    sh /root/auto-banips.sh <==== 將這行的註解移除掉

4. 重啟 NextPBX 就完成了

使用注意：

如果不小心造成系統封鎖了自己的 IP，必須將機器重啟後，就可以再登入。