======  Regras de Firewall para GWT ====== 

As Regras a seguir deverão ser aplicadas no firewall de borda da instituição. Caso haja outros firewalls entre a Internet e a rede DMZ que está associada o GWT, será imprescindível a aplicação destas regras nestes firewalls. \\

Recordamos que o GWT deverá ter associado a sua interface um endereço IP válido na Internet. Não sendo permitido o uso de NAT na solução do Fone@RNP para o GWT. \\

O GWT sempre estará associado a dois SIP Router, podendo o SIP Router ser o SRC1 e SRC2 da RNP ou SRL1 ou SRL2 da sua instituição. Identifique junto a CAM o endereço IP do SIP Router a ser associado. Caso a integração seja ao SIP Router da RNP (SRC1 e SRC2), confira os endereços:

  * SRC1-DF: 200.130.35.113
  * SRC2-RJ: 200.143.193.54
  


===== Regras do Serviço SIP (Entrada/Saída) =====

  * Liberar a saída dos pacotes SIP de origem na porta UDP 5071 do GWT e destinado ao endereço IP do SIP Router 1(SRL1) e SIP Router 2(SRL2).

  * Liberar acesso a porta UDP 5071 destinado ao endereço IP do GWT quando originados pelos SIP Routers.
  
  
===== Regras do Serviço RTP - Áudio (Entrada/Saída) =====

Liberar entrada e saída das portas UDP 10.000 a 20.000 originado em toda a internet e destinada ao GWT.


===== Regras de Acesso WEB (Saída) =====

O GWT realiza acessos a Internet que devem ser liberados no firewall de borda. Os acessos realizados a partir do GWT para Internet são basicamente de consulta DNS, HTTP, HTTPS e NTP. Caso haja servidores locais ofertando o serviço DNS e NTP, os mesmos poderão ser utilizados. Desde que o firewall libere o acesso a estes equipamentos locais.  

Importante observar que o acesso HTTP e HTTPS não poderá ser realizado via Proxy HTTP. Já que alguns acessos a Web serão liberados no firewall da RNP apenas para o endereço IP do GWT participante do serviço.


===== Regras de Acesso ICMP (Entrada) =====

Liberar acesso ICMP/ECHO REQUEST/REPLAY destinado ao GWT e originado pelos seguintes equipamentos:

  * SIP Routers Locais da Organização
  * Monitoramento: 
  * A rede administrativa da unidade  
  * huawei-srv-2.camvoip.com.br [110.238.65.158]
  * office.camvoip.com.br [200.196.51.178]
  * office2.camvoip.com.br [45.184.45.8}
  * IP Repositório RNP: 
  * IP Inventário RNP: 

Observação: A Regra de liberar sua rede administrativa permitirá que toda a equipe técnica, TI, Segurança e Telefonia consulte a disponibilidade do GWT via PING localmente.

 Remover IP antigos 35.184.99.197/32, 35.192.62.109/32, 200.196.51.178/32 e 189.45.44.121/32
===== Regras de Serviço DNS (Entrada/Saída) =====

Liberar entrada e saída UDP/TCP na porta 53 originado dos equipamentos SIP Router 1 ou 2 ao GWT. 
Lembrando que o SIP Router poderá ser o SRC1 e SRC2 da RNP ou o SRL1 e SRL2 da sua instituição.


===== Regras de Monitoramento (Entrada) =====

Liberar acesso UDP na porta 161 originado no equipamento de gerência da RNP. O equipamento que deve estar liberado para acessar o serviço SNMP GWT são:

•Monitoramento RNP:
ORIGEM: 200.130.35.71, 200.130.35.72 e 200.133.57.34
DESTINO: IP GWT
PORTA:161/UDP

Observação: A Regra de liberar o servidor de monitoramento permitirá que sua rede de monitoramento faça o acompanhamento do serviço do GWT no Fone@RNP.


===== Regras de Suporte/Operação/Manutenção - HTTPS e SSH (Entrada) =====


Liberar acesso TCP nas portas 22 (opcional) e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço. Os equipamentos que devem estar liberados para realizar o suporte no GWT:

  * A rede administrativa da unidade
  
  * IP CAM Escritório: 200.196.51.178/32,45.184.45.8/32 e 110.238.65.158/32
  * IP Repositório RNP: 200.130.35.236/32
  * IP Inventário RNP: 200.130.99.30/32

Observação: A Regra de liberar sua rede administrativa permitirá que toda a equipe técnica, TI, Segurança e Telefonia tenha acesso ao administrador do GWT localmente.

  * ORIGEM: SRC ou SRL
  * DESTINO:GWT
  * PORTA:5060/UDP, 53/TCP e UDP 


  * ORIGEM: SRC ou SRL
  * DESTINO:GWT
  * PORTA:10.000-20.000
  
  * ORIGEM: 200.130.35.71, 200.130.35.72 e 200.133.57.34
  * DESTINO: GWT
  * PORTA:161/UDP e PING(echo request e echo reply)
  
  * ORIGEM:DNS
  * DESTINO:GWT
  * PORTA:53/TCP e UDP

  * ORIGEM:NTP1 e NTP2
  * DESTINO:GWT
  * PORTA:123/UDP

  * ORIGEM:CAM - 200.196.51.178/32,45.184.45.8/32 e 110.238.65.158/32
  * DESTINO:GWT
  * PORTA:22,80 e 443 


  * ORIGEM:GWT
  * DESTINO:SRC e SRL
  * PORTA:5060/UDP

  * ORIGEM:GWT
  * DESTINO:ANY
  * PORTA:10.000-20.000

  * ORIGEM:DNS
  * DESTINO:GWT
  * PORTA:53/UDP

  * ORIGEM:GWT
  * DESTINO:NTP
  * PORTA:123/UDP e 514/UDP(SYSLOG)


OBS: Remover do firewall os IP que não são mais utilizados:
  34.95.196.149-CAM
  35.184.99..197-CAM
  189.26.241.16-CAM
  200.143.193.26-Estatistica-RNP
  200.130.77.77-Zabbix-RNP
  200.222.21.221-CAM