dok.cam

Ferramentas do usuário

Ferramentas do site

Visitou: gwt_firewall
No ACL setup yet! Denying access to everyone.
foneatrnp:gwt_firewall

Essa é uma revisão anterior do documento!

Regras de Firewall para GWT

As Regras a seguir deverão ser aplicadas no firewall de borda da instituição. Caso haja outros firewalls entre a Internet e a rede DMZ que está associada o GWT, será imprescindível a aplicação destas regras nestes firewalls.

Recordamos que o GWT deverá ter associado a sua interface um endereço IP válido na Internet. Não sendo permitido o uso de NAT na solução do Fone@RNP para o GWT.

O GWT sempre estará associado a dois SIP Router, podendo o SIP Router ser o SRC1 e SRC2 da RNP ou SRL1 ou SRL2 da sua instituição. Identifique junto a CAM o endereço IP do SIP Router a ser associado. Caso a integração seja ao SIP Router da RNP (SRC1 e SRC2), confira os endereços:

  • SRC1: 200.130.35.113

Regras do Serviço SIP (Entrada/Saída)

  • Liberar a saída dos pacotes SIP de origem na porta UDP 5071 do GWT e destinado ao endereço IP do SIP Router 1 e SIP Router 2.
  • Liberar acesso à porta UDP 5071 destinado ao endereço IP do GWT quando originados pelos SIP Routers.

Regras do Serviço RTP - Áudio (Entrada/Saída)

Liberar entrada e saída das portas UDP 10.000 a 20.000 originado em toda a internet e destinada ao GWT.

Regras de Acesso WEB (Saída)

O GWT realiza acessos a Internet que devem ser liberados no firewall de borda. Os acessos realizados a partir do GWT para Internet são basicamente de consulta DNS, HTTP, HTTPS e NTP. Caso haja servidores locais ofertando o serviço DNS e NTP, os mesmos poderão ser utilizados. Desde que o firewall libere o acesso a estes equipamentos locais.

Importante observar que o acesso HTTP e HTTPS não poderá ser realizado via Proxy HTTP. Já que alguns acessos a Web serão liberados no firewall da RNP apenas para o endereço IP do GWT participante do serviço.

Regras de Acesso ICMP (Entrada)

Liberar acesso ICMP/ECHO REQUEST/REPLAY destinado ao GWT e originado pelos seguintes equipamentos:

  • * SIP Routers Locais da Organização
  • Monitoramento: 200.130.35.71, 200.130.35.72 e 34.95.196.149.
  • * Sua rede administrativa:
  • IP CAM Cloud 1: 35.184.99.197/32
  • IP CAM Cloud 2: 200.196.51.178/32
  • IP CAM Escritório: 189.45.44.121/32
  • IP Inventário RNP: inventario.fone.rnp.br

Observação: A Regra de liberar sua rede administrativa permitirá que toda a equipe técnica, TI, Segurança e Telefonia consulte a disponibilidade do GWT via PING localmente.

Regras de Serviço DNS (Entrada/Saída)

Liberar entrada e saída UDP/TCP na porta 53 originado dos equipamentos SIP Router 1 ou 2 ao GWT. Lembrando que o SIP Router poderá ser o SRC1 e SRC2 da RNP ou o SRL1 e SRL2 da sua instituição.

Regras de Monitoramento (Entrada)

Liberar acesso UDP na porta 161 originado no equipamento de gerência da RNP. O equipamento que deve estar liberado para acessar o serviço SNMP GWT são:

•Monitoramento RNP: 200.130.35.71, 200.130.35.72 e 34.95.196.149.

•Monitoramento Local: IP do servidor

Observação: A Regra de liberar o servidor de monitoramento permitirá que sua rede de monitoramento faça o acompanhamento do serviço do GWT no Fone@RNP.

Regras de Suporte/Operação/Manutenção - HTTPS e SSH (Entrada)

* Regras de

Liberar acesso TCP nas portas 22 (opcional) e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço. Os equipamentos que devem estar liberados para realizar o suporte no GWT:

  • Sua rede administrativa: #
  • IP CAM Cloud 1: 35.184.99.197/32
  • IP CAM Escritório: 200.196.51.178/32
  • IP CAM Escritório: 189.45.44.121/32
  • IP Repositório RNP: repositório-fone.rnp.br
  • IP Inventário RNP: inventario-fone.rnp.br

Observação: A Regra de liberar sua rede administrativa permitirá que toda a equipe técnica, TI, Segurança e Telefonia tenha acesso ao administrador do GWT localmente.

Sentido: Internet –> DMZ

  • ORIGEM:SRC-DF SRC-RJ ou SRL1-N1 e SRL1N2
  • DESTINO: GWT
  • PORTA:UDP/5071
  • ORIGEM:SRC-DF SRC-RJ ou SRL1-N1 e SRL1N2
  • DESTINO: GWT
  • PORTA:UDP/10000-20000
  • ORIGEM:SRC-DF SRC-RJ ou SRL1-N1 e SRL1N2
  • DESTINO: GWT
  • PORTA:UDP e TCP/53
  • ORIGEM:DNS_RECURSIVO-1 E DNS_RECURSIVO-2 DA INSTITUIÇÃO
  • DESTINO: GWT
  • PORTA:UDP e TCP 53
  • ORIGEM:IP-NTP1,IP-NTP2
  • DESTINO: GWT
  • PORTA:UDP e TCP/123
  • ORIGEM:35.184.99.197/32, 200.196.51.178/32 e 189.45.44.121/32
  • DESTINO: GWT
  • PORTA:22, 80 e 443/TCP
  • ORIGEM:200.130.35.71, 200.130.35.72 e 34.95.196.149.
  • DESTINO: GWT
  • PORTA:161/UDP

Sentido: DMZ –> INTERNET

  • ORIGEM:GWT
  • PORTA:UDP/5071
  • DESTINO: SRL1-N2 E SRL2 OU SRC-DF E SRC-RJ
  • PORTA:5060/UDP
  • ORIGEM:GWT
  • DESTINO:ANY
  • PORTA:10000-20000/UDP
  • ORIGEM:GWT
  • DESTINO:IP-DNS_RECURSIVO1,IP-DNS_RECURSIVO2
  • PORTA:53/UDP
  • ORIGEM:GWT
  • DESTINO:IP-NTP1,IP-NTP2
  • PORTA:123/UDP
  • ORIGEM:GWT
  • DESTINO:IP-SYSLOG
  • PORTA:514/UDP
  • ORIGEM : GWT
  • DESTINO: SRL1 e SRL2
  • PROTOCOLO: ICMP
foneatrnp/gwt_firewall.1709147678.txt.gz · Última modificação: 2024/02/28 16:14 por marcos.marcello

Ferramentas da página

Exceto onde for informado ao contrário, o conteúdo neste wiki está sob a seguinte licença: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki