~~NOTOC~~ ====== Regras de Firewall para GWT ====== As Regras a seguir deverão ser aplicadas no firewall de borda da instituição. Caso haja outros firewalls entre a Internet e a rede DMZ que está associada o GWT, será imprescindível a aplicação destas regras nestes firewalls. \\ Recordamos que o GWT deverá ter associado a sua interface um endereço IP válido na Internet. Não sendo permitido o uso de NAT na solução do Fone@RNP para o GWT. \\ O GWT sempre estará associado a dois SIP Router, podendo o SIP Router ser o SRC1 e SRC2 da RNP ou SRL1 ou SRL2 da sua instituição. Identifique junto a CAM o endereço IP do SIP Router a ser associado. Caso a integração seja ao SIP Router da RNP (SRC1 e SRC2), confira os endereços: * SRC1: 200.130.35.113 ===== Regras do Serviço SIP (Entrada/Saída) ===== * Liberar a saída dos pacotes SIP de origem na porta UDP 5071 do GWT e destinado ao endereço IP do SIP Router 1 e SIP Router 2. * Liberar acesso à porta UDP 5071 destinado ao endereço IP do GWT quando originados pelos SIP Routers. ===== Regras do Serviço RTP - Áudio (Entrada/Saída) ===== Liberar entrada e saída das portas UDP 10.000 a 20.000 originado em toda a internet e destinada ao GWT. ===== Regras de Acesso WEB (Saída) ===== O GWT realiza acessos a Internet que devem ser liberados no firewall de borda. Os acessos realizados a partir do GWT para Internet são basicamente de consulta DNS, HTTP, HTTPS e NTP. Caso haja servidores locais ofertando o serviço DNS e NTP, os mesmos poderão ser utilizados. Desde que o firewall libere o acesso a estes equipamentos locais. Importante observar que o acesso HTTP e HTTPS não poderá ser realizado via Proxy HTTP. Já que alguns acessos a Web serão liberados no firewall da RNP apenas para o endereço IP do GWT participante do serviço. ===== Regras de Acesso ICMP (Entrada) ===== Liberar acesso ICMP/ECHO REQUEST/REPLAY destinado ao GWT e originado pelos seguintes equipamentos: ** SIP Routers Locais da Organização * Monitoramento: 200.130.35.71, 200.130.35.72 e 34.95.196.149. ** Sua rede administrativa: * IP CAM Cloud 1: 35.184.99.197/32 * IP CAM Cloud 2: 200.196.51.178/32 * IP CAM Escritório: 189.45.44.121/32 * IP Inventário RNP: inventario.fone.rnp.br Observação: A Regra de liberar sua rede administrativa permitirá que toda a equipe técnica, TI, Segurança e Telefonia consulte a disponibilidade do GWT via PING localmente. ===== Regras de Serviço DNS (Entrada/Saída) ===== Liberar entrada e saída UDP/TCP na porta 53 originado dos equipamentos SIP Router 1 ou 2 ao GWT. Lembrando que o SIP Router poderá ser o SRC1 e SRC2 da RNP ou o SRL1 e SRL2 da sua instituição. ===== Regras de Monitoramento (Entrada) ===== Liberar acesso UDP na porta 161 originado no equipamento de gerência da RNP. O equipamento que deve estar liberado para acessar o serviço SNMP GWT são: •Monitoramento RNP: 200.130.35.71, 200.130.35.72 e 34.95.196.149. •Monitoramento Local: IP do servidor Observação: A Regra de liberar o servidor de monitoramento permitirá que sua rede de monitoramento faça o acompanhamento do serviço do GWT no Fone@RNP. ===== Regras de Suporte/Operação/Manutenção - HTTPS e SSH (Entrada) ===== *** Regras de ** Liberar acesso TCP nas portas 22 (opcional) e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço. Os equipamentos que devem estar liberados para realizar o suporte no GWT: * Sua rede administrativa: # * IP CAM Cloud 1: 35.184.99.197/32 * IP CAM Escritório: 200.196.51.178/32 * IP CAM Escritório: 189.45.44.121/32 Observação: A Regra de liberar sua rede administrativa permitirá que toda a equipe técnica, TI, Segurança e Telefonia tenha acesso ao administrador do GWT localmente. **** **Sentido: Internet --> DMZ** **** * ORIGEM:SRC-DF SRC-RJ ou SRL1-N1 e SRL1N2 * DESTINO: GWT * PORTA:UDP/5071 * ORIGEM:SRC-DF SRC-RJ ou SRL1-N1 e SRL1N2 * DESTINO: GWT * PORTA:UDP/10000-20000 * ORIGEM:SRC-DF SRC-RJ ou SRL1-N1 e SRL1N2 * DESTINO: GWT * PORTA:UDP e TCP/53 * ORIGEM:DNS_RECURSIVO-1 E DNS_RECURSIVO-2 DA INSTITUIÇÃO * DESTINO: GWT * PORTA:UDP e TCP 53 * ORIGEM:IP-NTP1,IP-NTP2 * DESTINO: GWT * PORTA:UDP e TCP/123 * ORIGEM:35.184.99.197/32, 200.196.51.178/32 e 189.45.44.121/32 * DESTINO: GWT * PORTA:22, 80 e 443/TCP * ORIGEM:200.130.35.71, 200.130.35.72 e 34.95.196.149. * DESTINO: GWT * PORTA:161/UDP **** **Sentido: DMZ --> INTERNET** **** * ORIGEM:GWT * PORTA:UDP/5071 * DESTINO: SRL1-N2 E SRL2 OU SRC-DF E SRC-RJ * PORTA:5060/UDP * ORIGEM:GWT * DESTINO:ANY * PORTA:10000-20000/UDP * ORIGEM:GWT * DESTINO:IP-DNS_RECURSIVO1,IP-DNS_RECURSIVO2 * PORTA:53/UDP * ORIGEM:GWT * DESTINO:IP-NTP1,IP-NTP2 * PORTA:123/UDP * ORIGEM:GWT * DESTINO:IP-SYSLOG * PORTA:514/UDP * ORIGEM : GWT * DESTINO: SRL1 e SRL2 * PROTOCOLO: ICMP