У меня роутер ASUS RT-N16 под управлением прошивки версии 3.0.0.4.374_4422

У меня есть телефон VoIP (физический) с собственным частным IP-адресом (для обсуждения давайте назовем его 192.168.0.1), и я хотел бы ограничить для него связь, чтобы он ТОЛЬКО мог общаться с моим сервером VOIP в облаке (давайте назовите это 50.50.50.50 - опять же, это вымышленный пример).

Я думал, что смогу сделать это, добавив политику белого списка в раздел « Брандмауэр -> Фильтр сетевых служб».

Я попытался добавить следующее в таблицу фильтров сетевых служб:

Source IP: 192.168.0.1
Port Range:  1:65535
Destination IP: 50.50.50.50
Port Range: 1:65535
Protocol: TCP

Source IP: 192.168.0.1
Port Range:  1:65535
Destination IP: 50.50.50.50
Port Range: 1:65535
Protocol: UDP

Я также настроил следующее:

Enable Network Services Filter: Yes
Filter table type: White List
Well-Known Applications: User Defined
Date to Enable LAN to WAN Filter: Mon, Tue, Wed, Thu, Fri
Time of Day to Enable LAN to WAN Filter: 00:00 - 23:59
Date to Enable LAN to WAN Filter: Sat, Sun
Time of Day To Enable LAN to WAN Filter: 00:00-23:59
Filtered ICMP packet types: <blank>

Других правил в таблице нет.

После включения этого подключения интернет был заблокирован для всех устройств. Это заставляет меня поверить, что фильтр сетевых служб не работает. Может кто-нибудь подтвердить? Есть ли другой способ сделать то, что я ищу?

|источник

1 ответ1

1

Мое текущее решение для использования устройства VOIP, которое не может использовать STUN или UPNP:

  1. Настройка LAN - DHCP-сервер для назначения статического IP-адреса моему устройству VOIP (например, 192.168.1.10)
  2. Настройте WAN - Переадресация портов на необходимые порты (для меня это были UDP-порт 5004 и 5060) на статический IP-адрес моего устройства VOIP

Это имело побочный эффект, что мой телефон звонил всякий раз, когда кто-то делал сканирование портов. Чтобы остановить это безумие, мне пришлось ограничить доступ к своему VOIP-устройству, чтобы только действительный SIP-сервер получил доступ.

Я пытался использовать белый список брандмауэра, но не смог понять, как ограничить доступ для одного IP-адреса.

Вместо этого я решил установить прошивку Asus Merlin и следовал совету о разрешении переадресации портов на службу (например, RDesktop) только с определенного IP-адреса.

  • Активируйте раздел JFFS и отформатируйте его при следующей перезагрузке (Администрирование -> Система)
  • Активировать SSH (Администрирование -> Система)
  • Активируйте "SIP Passthrough", чтобы избежать сброса пакетов на порт udp 5060 (WAN -> NAT Passthrough)
  • Подключитесь к WinSCP с помощью SCP и загрузите нужный скрипт nat-start.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .