Раздел «Сетевые интерфейсы» в MikoPBX — это интерфейс для настройки параметров сетевых подключений системы. Здесь администраторы могут управлять IP-адресами, масками подсети, шлюзами и другими сетевыми настройками для каждого сетевого интерфейса. Это позволяет корректно интегрировать MikoPBX в сеть организации и обеспечить ее стабильную работу в соответствии с требованиями сетевой инфраструктуры.

Раздел находится в "Сеть и Firewall" -> "Сетевые интерфейсы":

Параметры

Имя хоста - это имя машины. Если значение не указано, то используется имя mikopbx.local.

Сетевые интерфейсы

Существует два способа настроить IP-адрес в MikoPBX:

1. DHCP (Dynamic Host Configuration Protocol) - это протокол, который позволяет автоматически настраивать IP-адрес. Рекомендуется использовать этот способ, если вы не хотите заниматься ручной настройкой. Просто включите опцию "Использовать DHCP для получения настроек сети" и система автоматически получит IP-адрес от DHCP сервера.

2. Ручная настройка - если вы не хотите использовать DHCP или хотите задать IP-адрес вручную, вы можете выполнить ручную настройку сети. Для этого вам понадобятся некоторые знания о топологии сети. В поле IP-адрес введите желаемый IP-адрес, а рядом с ним укажите маску подсети в формате CIDR. Например, /24 соответствует маске подсети 255.255.255.0.

"VLAN ID" - Кроме того, MikoPBX поддерживает виртуальные сетевые интерфейсы, известные как VLAN. Эта функция особенно полезна, если у вас есть только один физический сетевой интерфейс, но вам требуется использовать несколько виртуальных интерфейсов. С помощью VLAN можно создать виртуальные интерфейсы, которые работают поверх физического интерфейса. Преимуществом использования VLAN является возможность направлять телефонные разговоры через него, в то время как сетевое оборудование может осуществлять отдельную обработку трафика VLAN, обеспечивая стабильное соединение.

Важно отметить, что количество сетевых интерфейсов в MikoPBX не ограничено, и вы можете настроить и использовать несколько интерфейсов в соответствии с вашими потребностями.

Топология сети

"Сетевой интерфейс с доступом в интернет" - это основной интерфейс, через который MikoPBX будет получать доступ к внешним адресам, то есть адресам вне вашей локальной сети.

Если вы не указали адрес DNS-сервера, MikoPBX будет использовать сервер 8.8.8.8 по умолчанию. DNS-серверы отвечают за преобразование доменных имен в IP-адреса, позволяя устройствам находить нужные ресурсы в сети.

В зависимости от топологии вашей сети, вам потребуется выполнить определенные настройки MikoPBX. Вариант, когда АТС находится за сетевым маршрутизатором, является наиболее распространенным. Это означает, что MikoPBX подключена к вашей локальной сети, и для доступа к интернету используется маршрутизатор. Другой вариант - АТС находится на публичном IP, то есть имеет прямой доступ к интернету без промежуточного маршрутизатора.

В обоих случаях необходимо настроить MikoPBX соответствующим образом, чтобы обеспечить правильное функционирование и доступ к внешним ресурсам.

• Если АТС находится за маршрутизатором, то необходимо установить галку «Эта станция расположена за NAT маршрутизатором»

• Если нам известен внешний адрес станции (ip или доменное имя)и проброшены порты АТС во внешний мир, то имеет смысл заполнить поля «Внешний IP адрес Вашего маршрутизатора» или «Внешнее имя хоста вашего маршрутизатора».

Всем адресам, которые не являются для АТС локальными, станция будет представляться внешним адресом:

• Если «Внешний IP адрес Вашего маршрутизатора» пустое, а «Внешнее имя хоста вашего маршрутизатора» заполнено, то АТС будет представляться именно этим полем (Внешнее имя).

Ручная настройка сетевых маршрутов

1. Перейдите в раздел Система → Кастомизация системных файлов.

1. Откройте для редактирования файл /etc/static-routes.

1. Выберите режим «Заменять полностью» и вставьте правило. Например, route add -net 54.246.198.136 netmask 255.255.255.255 gw 172.16.32.15 dev eth0

Для указания операционной системе, какой сетевой интерфейс (в данном случае eth0) использовать для поиска IP-адреса 54.246.198.136, а также для указания шлюза (gateway) для направления запроса (в данном случае 172.16.32.15), мы задаем соответствующие значения в настройках сетевого правила.

Маска подсети "255.255.255.255" указывает, что данное правило будет применимо только к конкретному IP-адресу 54.246.198.136. Если вам необходимо создать правило для группы адресов, например, для всей подсети 54.246.198.0, то фактически это охватывает диапазон адресов от 54.246.198.1 до 54.246.198.254.

Таким образом, указывая сетевой интерфейс и шлюз в сетевых настройках, вы определяете, какую сеть и через какой маршрут направлять соответствующие запросы и коммуникацию. Это важно для настройки сетевого взаимодействия и обеспечения правильной маршрутизации трафика в вашей сети.

Нажмите "Сохранить"

Fail2ban включается вместе с Сетевым экраном переключателем в разделе Сеть и FireWall → Сетевой экран.

Сервис Fail2ban блокирует IP адреса с нестандартной активностью. При неудачной попытке авторизации в лог АТС попадет информация об ошибке, Fail2ban анализирует все неудачные попытки авторизации и считает их. Когда количество неудачных попыток авторизации превышает максимально допустимое количество, IP-адрес отправляется в бан. Fail2ban способен снизить скорость неудачных попыток аутентификации.

Настройки защиты от взлома можно найти в боковом меню:

• Если происходит определенное число неудачных попыток входа (Количество попыток для блокировки) в течение определенного периода (В течение (секунд)), IP адрес будет заблокирован в течение заданного периода времени (Блокировать на (секунд)).

• Белый список адресов определяет IP - адреса, которые не будут заблокированы Fail2ban. Указывать можно как ip адрес 93.188.40.10, так и подсеть 93.188.40.10/32. В качестве разделителя используется «пробел».

• Обратите внимание, что если Вы в разделе «Сетевой экран» для подсети указали настройку «Никогда не блокировать адреса из этой сети», то подсеть автоматом попадает в белый список и добавлять ее вручную не требуется. Не нужно пытаться наполнять вручную список белых IP-адресов, желательно в исключительных случаях прописывать IP-адреса.

Список заблокированных адресов показывает , какие IP-адреса в настоящее время заблокированы.

Так же вы можете разблокировать адрес кликом на соответствующую иконку в таблице

Сетевой экран в MikoPBX — это интерфейс для настройки брандмауэра (Firewall) системы. Здесь администраторы могут создавать и управлять правилами фильтрации сетевого трафика, контролируя доступ к MikoPBX и защищая ее от несанкционированного доступа и сетевых угроз. Настройка сетевого экрана обеспечивает безопасность телефонной системы, предотвращая потенциальные атаки и обеспечивая стабильную работу в сетевой инфраструктуре организации.

В MikoPBX все локальные подсети возможно описать в разделе «Сеть и Firewall» → «Сетевой экран». Сетевой экран предназначен для ограничения доступа к станции по типу трафика и подсетям.

Для того, чтобы добавить новое правило, необходимо нажать на кнопку "Добавить новую подсеть":

Общие настройки

Название - задайте произвольное имя для нового правила сетевого экрана. Справа от адреса подсети находится поле Маска подсети в формате CIDR.

Доступные сервисы

• SIP&RTP-регистрация телефонов и голосовой трафик - Session Initiation Protocol используется для установки соединений между VoIP телефонами

• WEB-доступ к административному интерфейсу настройки АТС

• SSH-root доступ к системе. SSH(Secure Shell) позволяет получить доступ к консоли MikoPBX.

• AMI-доступ к asterisk manager api через telnet. Asterisk Manager Interface (AMI) предоставляет доступ к Asterisk по TCP/IP протоколу.

• AJAM - доступ к asterisk manager api, через http, https

• ICMP-проверка связи командой ping

• CTICLIENT-подключение панели телефонии для 1С

Дополнительные параметры

• У каждой подсети есть флаг «Это VPN или локальная сеть». При установке этого флага MikoPBX будет представляться всем локальным подсетям локальным IP, а не внешним.

• Флаг «Никогда не блокировать адреса из этой сети» следует включать только для доверенных подсетей. Если включен данный флаг, то правила защиты от взлома на данную подсеть не распространяются.

Раздел «Сеть и Firewall» в MikoPBX — это интерфейс для настройки сетевых параметров и управления брандмауэром системы. Здесь администраторы могут настраивать IP-адреса, сетевые интерфейсы и создавать правила брандмауэра для защиты системы от несанкционированного доступа. Этот раздел обеспечивает безопасную и стабильную работу MikoPBX в сетевой инфраструктуре организации.

Сетевые интерфейсы

Раздел «Сетевые интерфейсы» в MikoPBX — это интерфейс для настройки параметров сетевых подключений системы. Здесь администраторы могут управлять IP-адресами, масками подсети, шлюзами и другими сетевыми настройками для каждого сетевого интерфейса. Это позволяет корректно интегрировать MikoPBX в сеть организации и обеспечить ее стабильную работу в соответствии с требованиями сетевой инфраструктуры.

Сетевой экран (Firewall)

Раздел «Сетевой экран» в MikoPBX — это интерфейс для настройки брандмауэра (Firewall) системы. Здесь администраторы могут создавать и управлять правилами фильтрации сетевого трафика, контролируя доступ к MikoPBX и защищая ее от несанкционированного доступа и сетевых угроз. Настройка сетевого экрана обеспечивает безопасность телефонной системы, предотвращая потенциальные атаки и обеспечивая стабильную работу в сетевой инфраструктуре организации.

Защита от взлома (Fail2Ban)

Раздел «Защита от взлома (Fail2Ban)» в MikoPBX — это инструмент для обеспечения безопасности системы от несанкционированного доступа и сетевых атак. Fail2Ban мониторит журналы событий и автоматически блокирует IP-адреса, с которых происходят подозрительные или многократные неудачные попытки входа. Настройка этого раздела помогает предотвратить взлом системы и защитить конфиденциальные данные организации.