====== Regras de Firewall para SRL ====== Estas regras devem ser implementadas no firewall de borda da instituição. ===== Sincronismo entre os SRL ===== **Caso os SRLs fiquem em segmentos de redes diferentes, é necessário liberar as portas de sincronismo entre os SRLs.** Os serviços de sincronismo e comunicação existente entre os SRLs são: * LDAP / OpenLDAP (TCP 389) * DNS / BIND (TCP/UDP 53) ===== Regras do Serviço SIP ===== **Liberar acesso à porta UDP 5060 e TCP 8443 originado nos Peers SIP do Serviço. \\ Incluindo os Proxy SIP associado ao SRL, que pode ser outro SRL ou SRC.** Os equipamentos que devem estar liberados para acessar a porta SIP no SRL1 e SRL2: * SRC-01-DF: 200.130.35.113 * SRC-02-RJ: 200.143.193.54 * Peers: Ex: GWT ===== Regras do Serviço RTP (Áudio) ===== **Liberar acesso à porta UDP 50.000 a 60.000 originado em toda a internet e destinada aos SRL 1 e 2** ===== Regras do Serviço ICMP ===== **Liberar acesso ICMP/ECHO REQUEST/REPLAY originado em toda a internet e destinada aos SRL 1 e 2** \\ Liberar zabbix: 200.130.35.71, 200.130.35.72 e 200.133.57.34 \\ Todos Peers configurados no SRL \\ SRLN2-1 SRLN2-2 ( SRL de Nível 2) ===== Regras do Serviço DNS ===== **Liberar acesso UDP/TCP na porta 53 originado dos equipamentos Peers do Serviço. Incluindo os Proxy SIP associado ao SRL, que pode ser outro SRL ou SRC.** Os equipamentos que devem estar liberados para acessar a porta DNS no SRL1 e SRL2: * SRC-01-DF: 200.130.35.113 - src1.fone.rnp.br * SRC-02-RJ: 200.143.193.54 - src2.fone.rnp.br * Peers do SRL que estejam fora do firewall. (Ex: GWT ou PABX IP que esteja fora do Firewall) ===== Regras para Acesso ao WebService ===== **Liberar acesso TCP na porta 8443 originado no equipamento de gerência da RNP.** O equipamento que deve estar liberado para acessar a porta 8443 no SRL1 e SRL2 são: * Estatísticas fone@RNP: 200.133.57.34, 200.130.35.71 e 200.130.35.72 ===== Regras de Gerência (SNMP)===== **Liberar acesso UDP na porta 161 originado no equipamento de gerência da RNP.** O equipamento que deve estar liberado para acessar o serviço SNMP no SRL1 e SRL2 é o 200.133.57.34, 200.130.35.71 e 200.130.35.72. ===== Regras de Suporte/Operação/Manutenção- HTTPS e SSH ===== **Liberar acesso TCP nas portas 22 (opcionalmente), 80 e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço.** Os equipamentos que devem estar liberados para realizar o suporte no SRL 1 e SRL2: * Sua rede administrativa: * IP CAM Cloud: 110.238.65.158/32 * IP CAM Escritório: 200.196.51.178/32 * IP CAM Escritório - Conecta: 45.184.45.8/32 Liberar acesso TCP 80 e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço. Liberar acesso ao repositório e inventário do Fone@RNP: * IP Repositório RNP: repositório-fone.rnp.br * IP Repositório POP-SC: rep.fone2014.pop-sc.rnp.br * IP Inventario: inventario-fone.rnp.br ==== FIREWALL-SRL ==== === Sentido : Internet --> DMZ === * ORIGEM : SRC-DF-200.130.35.113 e SRC-RJ-200.143.193.54 * DESTINO : SRL1 e SRL2 (Nível 1 ou 2) * PORTA : 5060/UDP, 53/UDP/TCP e 8443/TCP * ORIGEM : PBX-IP-m1, PBX-IP-m2, PBX-IP-vrrp e GWT * DESTINO : SRL1 e SRL2 (Nível 1 ou 2) * PORTA : 5060/UDP, 53/UDP e TCP *ORIGEM : ANY *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : 50000 a 60000/UDP *ORIGEM : 200.133.57.34, 200.130.35.71 e 200.130.35.72 (Estatística RNP, GWT, PBX-IP, CAMBOX(Todos os peers configurados no SRL) *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : ICMP/ECHO REQUEST/REPLAY *ORIGEM : 200.133.57.34, 200.130.35.71 e 200.130.35.72 (Zabbix RNP) *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : 161/UDP *ORIGEM : 110.238.65.158/32, 200.196.51.178/32 e 45.184.45.8/32(ADM Fone@RNP) *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : 80/TCP, 443/TCP e 22/TCP. *ORIGEM : repositório-fone.rnp.br, rep.fone2014.pop-sc.rnp.br e inventario-fone.rnp.br (Inventário do Fone@RNP) *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : 80/TCP, 443/TCP e ICMP/ECHO REQUEST/REPLAY *ORIGEM : IP-NTP1 e IP-NTP2 *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : 123/UDP === Sentido : DMZ --> Internet === == PERMITIR CONEXÃO TCP ESTABELECIDAS == *ORIGEM : SRL1 e SRL2 (Nível 1 ou 2) *DESTINO : SRC-DF-200.130.35.113 e SRC-RJ-200.143.193.54 *PORTA : 5060/UDP *ORIGEM : SRL1 e SRL2 (Nível 1 ou 2) *DESTINO : PBX-IP-m1, PBX-IP-m2, PBX-IP-vrrp *PORTA : 5080/UDP *ORIGEM : SRL1 e SRL2 (Nível 1 ou 2) *DESTINO : GWT *PORTA : 5071/UDP *ORIGEM : SRL1 e SRL2 (Nível 1 ou 2) *DESTINO : ANY *PORTA : 50000/UDP a 60000/UDP *ORIGEM : SRL1 e SRL2 53/UDP/TCP *DESTINO : PBX-IP-m1,PBX-IP-m2, PBX-IP-vrrp e GWT *PORTA : 53/UDP/TCP *ORIGEM : SRL1 e SRL2 *DESTINO : IP-SYSLOG (Caso a instituição tenha um servidor de syslog) *PORTA : 514/UDP *ORIGEM : TODOS OS PEERS GWT ou PBX-IP SIP CADASTRADOS NO SRL *DESTINO : SRL1 e SRL2 (Nível 1 ou 2) *PORTA : GWT-5071/UDP e/ou CAMBOX-5080/UDP e/ou ASTERISK-5060/UDP *ORIGEM : SRL1 e SRL2 (Nível 1 ou 2) *DESTINO : 200.130.35.71/32, 200.130.35.72/32, 200.133.57.34 e 200.130.35.113(SRC-DF) *PORTA : 8443/TCP *ORIGEM : SRL1 e SRL2 (Nível 1) *DESTINO : SRC-DF-200.130.35.113 *PORTA : ICMP/ECHO REQUEST/REPLAY * ORIGEM : SRL1 e SRL2 (Nível 1) * DESTINO : SRL1 e SRL2 (Nível 2) * PORTA : ICMP/ECHO REQUEST/REPLAY * ORIGEM : SRL1 e SRL2 (Nível 2) * DESTINO : SRL1 e SRL2 (Nível 1) * PORTA : ICMP/ECHO REQUEST/REPLAY OBS: Remover do firewall os IP que não são mais utilizados: 34.95.196.149-CAM 35.184.99..197-CAM 189.26.241.16-CAM 200.143.193.26-Estatistica-RNP 200.130.77.77-Zabbix-RNP 200.222.21.221-CAM