Jump to content
Калькуляторы

Оптимальная настройка для офиса (NAT, SIP, почта) Какая лучше?

Всем Доброе утро!

Сравнительно недавно открыл для себя этот прекрасный форум, собственно это произошло после знакомства с MikroTik.

 

Вот тут у меня появились вопросы, которые несомненно волнуют каждого новичка в работе с этими устройствами.

 

А именно, какая настройка наиболее эффективна и оптимальна с точки зрения безопасности и производительности?

 

Например:

Есть офис-1, 20-30 компьютеров, в этой офисной сети сервер телефонии (допустим Asterisk. 5060-5090).

Есть белый IP

Есть например торговые точки и офисы (2, 3, 4) в разных городах, которым нужна телефония из офиса-1

Например нужно запретить флуд на 5060, 53 итд

+ по традиции убить торренты и прочие дропбоксы)

 

Какая политика наиболее оптимальна?

1. Добавлять только запрещающие правила. Все остальное разрешать.

2. Поставить запрещающее правило на все. А сверху добавлять разрешающие.

Edited by Ozymandis

Share this post


Link to post
Share on other sites

А именно, какая настройка наиболее эффективна и оптимальна с точки зрения безопасности и производительности?

А почитать общие рекомендации?

 

Какая политика наиболее оптимальна?

Вопрос безотносительно привязки к какому-либо оборудованию. Есть общий принцип безопасности при работе в открытых сетях, "все, что не разрешено - запрещено".

Share this post


Link to post
Share on other sites

Например:

Есть офис-1, 20-30 компьютеров, в этой офисной сети сервер телефонии (допустим Asterisk. 5060-5090).

Есть белый IP

Есть например торговые точки и офисы (2, 3, 4) в разных городах, которым нужна телефония из офиса-1

Например нужно запретить флуд на 5060, 53 итд

+ по традиции убить торренты и прочие дропбоксы)

 

Какая политика наиболее оптимальна?

1. Добавлять только запрещающие правила. Все остальное разрешать.

2. Поставить запрещающее правило на все. А сверху добавлять разрешающие.

 

Если у вас есть офис-1, то там ставите микротик, к которому подключаете АТС и другие ресурсы сети.

С других офисов устанавливаете туда туннели через интернет на его внешний IP через L2TP, через OSPF анонсите маршруты, заворачиваете трафик в туннель и т.п.

Теперь у вас есть связь между всеми компьютерами всех офисов и доступ на АТС.

Доступ на телефонию идет наверно с телефонных аппаратов? Никто же не делает софтфоны на компьютерах?

Следовательно, делаете отдельную разводку для телефонных аппаратов отдельно от сети компьютеров, выдаете туда отдельную подсеть.

Если вдруг не можете так сделать, например сеть большая и на не управляемом оборудовании, то смотрите описание телефонов и спрашиваете - зачем в телефонах PPPoE клиент?

А затем, что бы в случаях, когда нельзя отделить сеть телефонии от сети компьютеров, просто настраиваете все телефоны через PPPoE и выделяете им отдельную подсеть.

В центральном офисе создаете только одно правило фильтрации, что если адрес назначения = адресу АТС, и адрес источника не равен подсетям телефонии, то делать дроп.

Теперь ваша АТС защищена, ведь вирусов для телефонных аппаратов еще не изобрели, а те, кто попадает на большие деньги из-за того, что какой-то вирус с компа подобрал пароли на АТС и нагенерил много голосового трафика, сами себе виноваты, что не привели свое телефонное хозяйство в порядок.

 

Теперь про интернет - в этих случаях целесообразно его гнать через центр, для этого выделяете там отдельный микротик для блокировки всего и вся, который не связан с тем, который туннели создает.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.