1. แนะนำ
Elastix จะมี Firewall module ติดตั้งไว้แล้ว แต่ยังไม่ได้เปิดใช้งาน คลิกไปที่ TAB Security → Firewall → Activate Firewall
ก็สามารถใช้งาน Firewall ได้
จากรูป
TAB Delete ใช้สำหรับลบ rule ที่ไม่ต้องการโดยการคลิกเลือกที่ rule นั้นๆ แล้วคลิก TAB Delete
TAP Deactivate Firewall ใช้สำหรับยกเลิกการใช้งาน firewall
TAB New Rule ใช้สำหรับการสร้าง rule ใหม่
ส่วน column ทั้ง 8 มีความหมายดังนี้
Order คือ ลำดับของ rule เมื่อมี Packet เข้ามา Firewall จะใช้ rule ที่ 1 ในการตรวจสอบว่าจะยอมให้ Packet นั้นผ่านไปหรือไม่
ถ้า Packet นั้นสามารถผ่าน rule ที่ 1 ได้ Firewall ก็จะตรวจสอบ Packet ถัดไป แต่ถ้า Packet แรกผ่าน rule ที่ 1 ไม่ได้ Firewall ก็จะใช้
rule ที่ 2 ในการตรวจสอบ ถ้ายังไม่ผ่านก็จะใช้ rule ถัดๆไป ในการตรวจสอบ การจัด order ของ rule ทำได้โดยการคลิกปุ่ม ลูกศรขึ้น ลูกศรลง
Traffic มี 3 แบบ คือ
IN คือ Traffic ที่เข้าสู่ Server
OUT คือ Traffic ที่ออกจาก Server
Forward คือ Traffic ที่เข้าสู่ Server และถูกส่งต่อออกจาก Server ไป
Target มี 3 แบบ คือ
ACCEPT คือ ยอมให้ Traffic ผ่านได้
DROP คือ ไม่ยอมให้ Traffic ผ่าน และไม่แจ้งให้ผู่ส่งทราบ
REJECT คือ ไม่ยอมให้ Traffic ผ่าน แต่จะแจ้งให้ผู้ส่งทราบ
Interface คือ Interface ของ Elastix server
Source Address คือ ip address ต้นทาง
Destination Address คือ ip address ปลายทาง
Protocol คือ protocol สำหรับ rule นั้นๆ
รูปหลอดไฟ สำหรับ activate หรือ deactivate rule นั้นๆ
รูปสมุดโน้ต สำหรับแก้ไข rule นั้นๆ
2. ตัวอย่างการใช้งาน
เราอาจจะเริ่มโดยใช้ Default Firewall ที่มากับระบบ แล้วปิด port ที่ไม่ใช้งาน
- ปิด port IAX1, IAX2 ถ้าไม่ได้ใช้งาน IAX protocol โดยการคลิกที่รูปสมุดโน้ต แล้วเลือก Target เป็น DROP หรือ REJECT
- ปิด port MGCP (Media Gateway Coutual Protocol)
- ปิด ports TFTP, SMTP, HTTP, POP3, IMAD, IMAPS, POP3S
- ปิด ports JABBER / XMPP Openfire
3. สรุป
นอกเหนือจาก default rules ที่มากับระบบ เราอาจจะต้องคอนฟิกเพิ่มเติม เช่น กำหนด Source Address, Destination Address ให้รัดกุมขึ้น
รวมถึง SIP username, secret ต้องกำหนดให้ยากขึ้น โดยเฉพาะ SIP secret อาจจะต้องยาว 10-20 ตัว (อักษรตัวเล็ก, อักษรตัวใหญ่, ตัวเลข
และ เครื่งหมายพิเศษ) หรือถ้าจำเป็นต้องมี Remote Extensions ที่มาจาก internet ควรจะติดตั้ง OpenVPN ร่วมกับ Firewall โดยที่ Firewall
จะเปิดเฉพาะ port 1194 UDP ของ OpenVPN เท่านั้น