Денис Здесенко
12.02.2020
401628

Настройка NFTables на CentOS 8 для безопасности IP-телефонии

Введение В сентябре 2019 года, а именно 24 числа, состоялся релиз CentOS 8, основанного на Red Hat Enterprice Linux 8.0, вобрав в себя все его нововведения. CentOS отказался от использования привычного нам iptables в пользу более удобного и мощного инструмента – nftables, с ним нам теперь работать, поэтому о нем и поговорим. О nftables Синтаксис […]

Введение

В сентябре 2019 года, а именно 24 числа, состоялся релиз CentOS 8, основанного на Red Hat Enterprice Linux 8.0, вобрав в себя все его нововведения. CentOS отказался от использования привычного нам iptables в пользу более удобного и мощного инструмента – nftables, с ним нам теперь работать, поэтому о нем и поговорим.

О nftables

Синтаксис nftables кардинально отличается от всем привычного iptables. На смену линейной схеме пришли блочные структуры.

Пример блочной архитектуры nftables по умолчанию
Пример блочной архитектуры nftables по умолчанию
Пример блочной архитектуры nftables по умолчанию
Пример блочной архитектуры nftables по умолчанию

По умолчанию стандартные настройки хранятся в шаблонах, представленных на скриншоте:

Список файлов со стандартными настройками nftables в CentOS8
Список файлов со стандартными настройками nftables в CentOS8

В процессе работы с nftables, мы оперируем:

  1. Таблицами, в которых определяется семейство протоколов (но не более одного на таблицу)
  2. Цепочками, состоящими из правил для обработки пакетов
  3. Правилами для обработки пакетов
  4. Инструкциями (accept, drop, reject, return, jump, queue, goto, continue). Они задают поведение при попадании пакета под правила.
Если есть необходимость выполнить перевод правил и iptables, это можно сделать с помощью утилиты iptables-translate из пакета iptables-compat

Все манипуляции производятся посредством утилиты nft. У нее есть интересная особенность – интерактивный режим работы в командной строке (nft -i). Помимо этого, nft можно подкинуть заранее заготовленный конфиг, что довольно удобно для переноса набора правил на несколько машин. Отдать файл с набором правил утилите можно вот таким образом:

nft –f [filename].conf

Настройка nftables для атс на базе Asterisk

Переходим непосредственно к настройке. Создаем файл с конфигурацией /etc/nftables.conf, и в нем 2 таблицы  «table inet filter» и «table inet fail2ban». В эти таблицы будут занесены цепочки и правила для фильтрации сетевых пакетов.

Начнем с цепочки INPUT. В первую очередь добавим правила, которое будут сбрасывать весь битый трафик и разрешать исходящий трафик:

Правила для invalid и исходящего трафика
Правила для invalid и исходящего трафика

Далее мы разрешим трафик для localhost и добавим правила для защиты от пинг-флуда (разновидность ddos’a «бытовыми средствами»)

Защита от пинг-флуда
Защита от пинг-флуда

Так же хотелось бы разрешить ICMP и IGMP трафик, что мы и сделаем:

Правила для icmp и igmp
Правила для icmp и igmp

Закрываемся от брутфорса по ssh и открываем порты для нашей цепочки VOIP (в ней будет разрешаться трафик для пула наших ip адресов) и ADMIN (разрешается трфафик для административных сетей)

Порты для цепочки VOIP, ADMIN
Порты для цепочки VOIP, ADMIN
Цепочки VOIP и ADMIN
Цепочки VOIP и ADMIN

Финальным штрихом стоит сбросить недействительные подключения:

Сброс подключений
Сброс подключений

По итогу наш конфиг файл должен выглядеть примерно таким образом:

/etc/nftables.conf
/etc/nftables.conf

Отдаем его утилите nft, но не стоит забывать, что после перезагрузки системы конфигурация будет сброшена. Чтобы избежать подобного, необходимо добавить его в загрузку. Для этого мы инклюдим наш конфиг файл в /etc/sysconfig/nftables.conf:

/etc/sysconfig/nftables.conf
/etc/sysconfig/nftables.conf

Перезагружаемся и проверяем, что правила добавлены:

Правила добавлены после перезагрузки
Правила добавлены после перезагрузки
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Остались вопросы?

Я - Виталий Шелест, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование


ближайшие курсы

10 доводов в пользу Asterisk

Распространяется бесплатно.

Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.

Безопасен в использовании.

Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.

Надежен в эксплуатации.

Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.

Гибкий в настройке.

Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.

Имеет огромный функционал.

Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.

Интегрируется с любыми системами.

То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.

Позволяет телефонизировать офис за считанные часы.

В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.

Отличная масштабируемость.

Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.

Повышает управляемость бизнеса.

Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.

Снижает расходы на связь.

Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.