GeoIP фильтрация
Модуль GeoIP блокирует входящие соединения к MikoPBX из выбранных стран на уровне файрвола. Защищает АТС от SIP-сканеров, подбора паролей и нежелательных звонков. Работает для IPv4 и IPv6.
Модуль GeoIP блокирует входящие соединения к вашей АТС из выбранных стран. Открытая в интернет MikoPBX постоянно получает сотни попыток подключения со всего мира: сканеры ищут уязвимые SIP-серверы, подбирают пароли к внутренним номерам и пытаются звонить за ваш счёт. Большинство таких атак приходит из стран, с которыми у вас нет телефонной связи.
GeoIP-фильтрация позволяет заблокировать целые страны в один клик — все IP-адреса из этих стран отбрасываются ещё до того, как достигнут SIP-сервера. Блокировка работает одновременно для IPv4 и IPv6.
Модуль использует технологию ipset — механизм ядра Linux для работы с большими списками адресов. Это позволяет проверять сотни тысяч подсетей практически мгновенно, без влияния на производительность станции. Поддержка ipset входит во все стандартные сборки MikoPBX.
Установка и включение
Откройте Модули → Маркетплейс модулей, найдите GeoIP фильтрация и нажмите Установить.
После установки перейдите в раздел Сеть и firewall → GeoIP фильтрация.
Включите переключатель Включить GeoIP-фильтрацию.
Отметьте страны, которые нужно заблокировать, и нажмите Сохранить.
После включения модуль автоматически запускает первую загрузку списков IP-адресов. Пока данные не скачаны, в поле Последнее обновление отображается «Данные ещё не загружены».
Если в системе недоступна утилита ipset, модуль покажет предупреждение «ipset недоступен» — фильтрация в этом случае к трафику применяться не будет. На стандартных сборках MikoPBX утилита присутствует.
Выбор стран
На странице модуля отображается список из 249 стран (стандарт ISO 3166-1). Для каждой страны указан её текущий статус — Заблокирована или Разрешена. Страна разрешена по умолчанию: блокировка включается явно.
Поиск
Быстрый поиск страны по названию.
Фильтр статуса
Показать все страны, только разрешённые или только заблокированные.
Заблокировать все
Заблокировать сразу все страны в списке.
Разрешить все
Снять блокировку со всех стран.
Сохранить
Применить изменения. Правила файрвола обновляются сразу после сохранения.
Источник данных
Списки подсетей по странам можно получать из одного из трёх источников — он выбирается в поле Источник данных:
DB-IP Lite (рекомендуется)
Актуальная база соответствий «страна → подсеть». Копия базы поставляется прямо в составе модуля, поэтому первое включение работает даже без доступа в интернет.
RIR delegation files
Официальные файлы распределения адресов региональных интернет-регистраторов (RIPE, ARIN, APNIC и др.).
ipdeny.com
Готовые агрегированные CIDR-блоки по странам.
Источник DB-IP Lite включает офлайн-копию базы внутри модуля. Это важно для станций в ограниченных сетях, где скачивание базы извне нестабильно: модуль сначала использует встроенную копию и только при её отсутствии обращается в сеть.
Обновление списков
Списки IP-адресов обновляются автоматически раз в неделю (по воскресеньям). Дата и время последнего успешного обновления, а также число загруженных подсетей отображаются на странице модуля.
Чтобы обновить данные немедленно, нажмите Обновить сейчас — рядом появится индикатор прогресса. Это удобно сразу после установки или после смены источника данных.
Как это работает
Блокировка GeoIP применяется в файрволе в самую последнюю очередь — после всех разрешающих правил. Порядок обработки входящего соединения:
Установленные соединения — пропускаются.
Правила файрвола (ваши доверенные подсети) — пропускаются.
IP-адреса SIP-провайдеров — пропускаются.
Фильтр GeoIP — блокировка по стране.
Доверенные адреса никогда не блокируются по ошибке. Даже если IP-адрес вашего SIP-провайдера находится в заблокированной стране, он продолжит работать — потому что разрешающие правило обрабатывается раньше, чем фильтр GeoIP.
Системные требования
MikoPBX 2026.1.223 или новее.
Поддержка ipset в ядре Linux (входит во все стандартные сборки MikoPBX).
Last updated
Was this helpful?