Имеется voip-сервер. Для регистрации используется стандартный порт 5060. В целях безопасности в правилах iptables были запрещены запросы на порт 5060 с любых адресов. А также прописаны те ip-адреса, кому разрешено регистрировать и соответственно звонить через данных сервер. Адреса публичные и статические, да и их не так много, если быть честным.
Теперь беда в том, что есть клиенты, использующие динамические ip-адреса. Подскажите пожалуйста, по какому принципу было бы "пра'вильней" организовать доступ к серверу для таких клиентов?
1) Открывать доступ для всех адресов - мне бы не хотелось
2) Что, если создать правило в iptables, которое добавляет IP, если он упорно (определённое количество раз ~10 ) запрашивает регистрацию? Хотя мне кажется, что это "неправильный" костыль?
3) Или тут без VPNa никуда?
Буду рад Вашей помощи и правильному наставлению, как лучше организовать доступ для таких клиентов.
Спасибо, знаком с port knocking, но не вижу его инструментом для решения моей задачи, т.к. пользователю придётся проходить данный "обряд" каждый раз при смене адреса и ему это просто надоест или не хватит компетенции, чтобы каждый раз менять настройки регистрации на приложении или же voip-оборудовании.
fredyk: ну вопрос решаем, выдаем клиенту программу-клиент запускаемую через обертку. Хотя, если уровень паранойи такой, что вы блокируете все IPшники и пускаете только избранных, то я бы пошел дальше и сделал VPN-онли решение.
Не то, чтобы уровень паранойи большой, но не хотелось бы получить счета за взлом и прозвон в дорогостоящие направления. Сам думаю про OpenVPN, вот только не все voip-оборудования поддерживают VPN, да и будет ли ухудшение связи из-за VPN у клиентов. В общем проработаю и этот вариант =)
Как вариант:
1. делаете отдельный sip сервер на отдельном ip и создаете там sip аккаунт без доступа куда-нибудь
2. Абонент регистрируется там отдельным логин-паролем
3. После этого добавляете его ip на рабочий сервер в белый список.
При всем зоопарке клиентсого софта и железа такой способ видится мне наиболее безгеморройным.
Вариант Ваш понял, но в том то и дело, что пользователь вряд ли будет сперва пытаться регистрировать на одном сервере, чтобы затем зарегистрироваться на нужном после добавления его IP в белый лист. Пользователю же придётся в таком случае временно менять настройки регистрации в приложении или же на voip-устройстве и делать это каждый раз после смены адреса. Ему это "быстро" надоест или же не хватит навыков/терпения для подобных манипуляций. Но спасибо за Ваш ответ =)
fredyk: Зачем менять настройки? Просто держать 2 аккаунта. Сначала зарегистрируется первый, через что изменится firewall и тут уже зарегистрируется второй. Чуть больше настройки на первом этапе, а потом все будет происходить автоматически. Устройств, которе не могут держать 2-3 аккаунта я уже давно не помню.
Я думаю правильнее было бы для начала определить какие методы взлома применяются для SIP.
По правде говоря с этим не сталкивался, но как и большинство остальных взломов - это дефолтные значения которые при установке и настройке не были сменены на свои. Есть же куча проектов с SIP телефонией и не думаю что они привязывают клиентов по IP.
