Firewall

I recently started to add some security features to my asterisk server. One was adding a fail2ban jail. Because I have asterisk running inside of docker, I mounted my log folder and changed fail2ban (installed on my docker host itself) to use the message file (in my case: /opt/asterisk/log/messages) . Start by editing /etc/fail2ban/jail.d/asterisk.conf: [asterisk] enabled = true filter = asterisk action = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp] %(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp] banaction = iptables-multiport logpath = /opt/asterisk/log/messages maxretry = 5 findtime = 3h bantime = 1d Fail2ban needs a specific timestamp format and to prevent asterisk from creating GBs of logs I changed it to only log notice and error messages in the /etc/asterisk/logger....

Wer mit Pfsense oder OPNsense seine Firewall Zuhause oder im Betrieb betreibt und zusätzlich noch Voip Telefonie hinter dieser nutzen möchte kommt schnell auf ein kleines Problem. Die beiden Firewalls zur erhöhten Sicherheit ein System, bei dem Ausgehende Verbindungen dynamische Ports verwenden, nutzen. Dies ist SIP allerdings ein Dorn im Auge. Die schnellste Lösung ist daher, für die klassischen SIP Ports die dynamische Port Wahl abzuschalten. Dazu legt man am besten eine Alias VOIP_PORTS mit allen notwendigen SIP Ports (meist 5060, 10000:20000) an oder trägt die Ports einfach direkt ein....

Dieser Eintrag wurde nach der Erstveröffentlichung wesentlich erweitert und verändert. An dieser Stelle besten Dank an Sven Hofacker für das gemeinsame Erarbeiten einer besseren Konfiguration. Wenn man statt der weit verbreiteten Fritz!Boxen (und einigen anderen Routern) eine pfSense-Installation für die Bereitstellung des Internetzuganges nutzen will, sind einige Punkte zu beachten. DHCPv6 oder SLAAC oder 6rd? (WAN-Seite) Da bei IPv6 im Gegensatz zu IPv4 reichlich Adressen vorhanden sind, sind keine Krücken wie NATs vorgesehen....

There are diffrent ways to support IPv6 in Docker. The easiest is to enable ipv6 on the docker host and simply use the docker proxy to forward ipv6 via ipv4 to the containers. But one disadvantage of this method is, that your container is unable to see the clients remote address. Each request seems to be send from the docker host. Especially nginx and php or a spam filter for your mailserver are depending on a correct client ip....

ssh -R 8080:localhost:80 user@publicip ssh -R remote-port:pc-in-local-network:port-on-pc-in-local-network user@publicip