Tabela de conteúdos

Regras de Firewall para SRL

Regras de Firewall para SRL

Estas regras devem ser implementadas no firewall de borda da instituição.

Sincronismo entre os SRL

Caso os SRLs fiquem em segmentos de redes diferentes, é necessário liberar as portas de sincronismo entre os SRLs.

Os serviços de sincronismo e comunicação existente entre os SRLs são:

LDAP / OpenLDAP (TCP 389)
DNS / BIND (TCP/UDP 53)

Regras do Serviço SIP

Liberar acesso à porta UDP 5060 e TCP 8443 originado nos Peers SIP do Serviço.
Incluindo os Proxy SIP associado ao SRL, que pode ser outro SRL ou SRC.

Os equipamentos que devem estar liberados para acessar a porta SIP no SRL1 e SRL2:

SRC-01-DF: 200.130.35.113
SRC-02-RJ: 200.143.193.54
Peers: Ex: GWT

Regras do Serviço RTP (Áudio)

Liberar acesso à porta UDP 50.000 a 60.000 originado em toda a internet e destinada aos SRL 1 e 2

Regras do Serviço ICMP

Liberar acesso ICMP/ECHO REQUEST/REPLAY originado em toda a internet e destinada aos SRL 1 e 2
Liberar zabbix: 200.130.35.71, 200.130.35.72 e 200.133.57.34
Todos Peers configurados no SRL
SRLN2-1 SRLN2-2 ( SRL de Nível 2)

Regras do Serviço DNS

Liberar acesso UDP/TCP na porta 53 originado dos equipamentos Peers do Serviço. Incluindo os Proxy SIP associado ao SRL, que pode ser outro SRL ou SRC.

Os equipamentos que devem estar liberados para acessar a porta DNS no SRL1 e SRL2:

SRC-01-DF: 200.130.35.113 - src1.fone.rnp.br
SRC-02-RJ: 200.143.193.54 - src2.fone.rnp.br
Peers do SRL que estejam fora do firewall. (Ex: GWT ou PABX IP que esteja fora do Firewall)

Regras para Acesso ao WebService

Liberar acesso TCP na porta 8443 originado no equipamento de gerência da RNP.

O equipamento que deve estar liberado para acessar a porta 8443 no SRL1 e SRL2 são:

Estatísticas fone@RNP: 200.133.57.34, 200.130.35.71 e 200.130.35.72

Regras de Gerência (SNMP)

Liberar acesso UDP na porta 161 originado no equipamento de gerência da RNP.

O equipamento que deve estar liberado para acessar o serviço SNMP no SRL1 e SRL2 é o 200.133.57.34, 200.130.35.71 e 200.130.35.72.

Regras de Suporte/Operação/Manutenção- HTTPS e SSH

Liberar acesso TCP nas portas 22 (opcionalmente), 80 e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço.

Os equipamentos que devem estar liberados para realizar o suporte no SRL 1 e SRL2:

Sua rede administrativa:
IP CAM Cloud: 110.238.65.158/32
IP CAM Escritório: 200.196.51.178/32
IP CAM Escritório - Conecta: 45.184.45.8/32

Liberar acesso TCP 80 e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço.

Liberar acesso ao repositório e inventário do Fone@RNP:

 
* IP Repositório RNP: repositório-fone.rnp.br
* IP Repositório POP-SC: rep.fone2014.pop-sc.rnp.br
* IP Inventario: inventario-fone.rnp.br

FIREWALL-SRL

Sentido : Internet --> DMZ

ORIGEM : SRC-DF-200.130.35.113 e SRC-RJ-200.143.193.54
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 5060/UDP, 53/UDP/TCP e 8443/TCP

ORIGEM : PBX-IP-m1, PBX-IP-m2, PBX-IP-vrrp e GWT
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 5060/UDP, 53/UDP e TCP

ORIGEM : ANY
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 50000 a 60000/UDP

ORIGEM : 200.133.57.34, 200.130.35.71 e 200.130.35.72 (Estatística RNP, GWT, PBX-IP, CAMBOX(Todos os peers configurados no SRL)
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : ICMP/ECHO REQUEST/REPLAY

ORIGEM : 200.133.57.34, 200.130.35.71 e 200.130.35.72 (Zabbix RNP)
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 161/UDP

ORIGEM : 110.238.65.158/32, 200.196.51.178/32 e 45.184.45.8/32(ADM Fone@RNP)
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 80/TCP, 443/TCP e 22/TCP.

ORIGEM : repositório-fone.rnp.br, rep.fone2014.pop-sc.rnp.br e inventario-fone.rnp.br (Inventário do Fone@RNP)
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 80/TCP, 443/TCP e ICMP/ECHO REQUEST/REPLAY

ORIGEM : IP-NTP1 e IP-NTP2
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : 123/UDP

Sentido : DMZ --> Internet

PERMITIR CONEXÃO TCP ESTABELECIDAS

ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
DESTINO : SRC-DF-200.130.35.113 e SRC-RJ-200.143.193.54
PORTA : 5060/UDP

ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
DESTINO : PBX-IP-m1, PBX-IP-m2, PBX-IP-vrrp
PORTA : 5080/UDP

ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
DESTINO : GWT
PORTA : 5071/UDP

ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
DESTINO : ANY
PORTA : 50000/UDP a 60000/UDP

ORIGEM : SRL1 e SRL2 53/UDP/TCP
DESTINO : PBX-IP-m1,PBX-IP-m2, PBX-IP-vrrp e GWT
PORTA : 53/UDP/TCP

ORIGEM : SRL1 e SRL2
DESTINO : IP-SYSLOG (Caso a instituição tenha um servidor de syslog)
PORTA : 514/UDP

ORIGEM : TODOS OS PEERS GWT ou PBX-IP SIP CADASTRADOS NO SRL
DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
PORTA : GWT-5071/UDP e/ou CAMBOX-5080/UDP e/ou ASTERISK-5060/UDP

ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
DESTINO : 200.130.35.71/32, 200.130.35.72/32, 200.133.57.34 e 200.130.35.113(SRC-DF)
PORTA : 8443/TCP

ORIGEM : SRL1 e SRL2 (Nível 1)
DESTINO : SRC-DF-200.130.35.113
PORTA : ICMP/ECHO REQUEST/REPLAY

ORIGEM : SRL1 e SRL2 (Nível 1)
DESTINO : SRL1 e SRL2 (Nível 2)
PORTA : ICMP/ECHO REQUEST/REPLAY

ORIGEM : SRL1 e SRL2 (Nível 2)
DESTINO : SRL1 e SRL2 (Nível 1)
PORTA : ICMP/ECHO REQUEST/REPLAY

OBS: Remover do firewall os IP que não são mais utilizados:
34.95.196.149-CAM
35.184.99..197-CAM
189.26.241.16-CAM
200.143.193.26-Estatistica-RNP
200.130.77.77-Zabbix-RNP
200.222.21.221-CAM