dok.cam

Ferramentas do usuário

Ferramentas do site

Visitou: srl_procedimentos srl_firewall
No ACL setup yet! Denying access to everyone.
foneatrnp:srl_firewall

Essa é uma revisão anterior do documento!

Tabela de conteúdos

Regras de Firewall para SRL

Estas regras devem ser implementadas no firewall de borda da instituição.

Sincronismo entre os SRL

Caso os SRLs fiquem em segmentos de redes diferentes, é necessário liberar as portas de sincronismo entre os SRLs.

Os serviços de sincronismo e comunicação existente entre os SRLs são:

  • LDAP / OpenLDAP (TCP 389)
  • DNS / BIND (TCP/UDP 53)

Regras do Serviço SIP

Liberar acesso à porta UDP 5060 e TCP 8443 originado nos Peers SIP do Serviço.
Incluindo os Proxy SIP associado ao SRL, que pode ser outro SRL ou SRC.

Os equipamentos que devem estar liberados para acessar a porta SIP no SRL1 e SRL2:

  • SRC-01-DF: 200.130.35.113
  • Peers: Ex: GWT

Regras do Serviço RTP (Áudio)

Liberar acesso à porta UDP 50.000 a 60.000 originado em toda a internet e destinada aos SRL 1 e 2

Regras do Serviço ICMP

Liberar acesso ICMP/ECHO REQUEST/REPLAY originado em toda a internet e destinada aos SRL 1 e 2
Liberar zabbix: 200.130.35.71, 200.130.35.72 e 200.133.57.34
Todos Peers configurados no SRL
SRLN2-1 SRLN2-2 ( SRL de Nível 2)

Regras do Serviço DNS

Liberar acesso UDP/TCP na porta 53 originado dos equipamentos Peers do Serviço. Incluindo os Proxy SIP associado ao SRL, que pode ser outro SRL ou SRC.

Os equipamentos que devem estar liberados para acessar a porta DNS no SRL1 e SRL2:

  • SRC-01-DF: 200.130.35.113 - src1.fone.rnp.br
  • SRC-02-RJ: ?
  • Peers do SRL que estejam fora do firewall. (Ex: GWT ou PABX IP que esteja fora do Firewall)

Regras para Acesso ao WebService

Liberar acesso TCP na porta 8443 originado no equipamento de gerência da RNP.

O equipamento que deve estar liberado para acessar a porta 8443 no SRL1 e SRL2 são:

  • Estatísticas fone@RNP: 200.133.57.34, 200.130.35.71 e 200.130.35.72

Regras de Gerência (SNMP)

Liberar acesso UDP na porta 161 originado no equipamento de gerência da RNP.

O equipamento que deve estar liberado para acessar o serviço SNMP no SRL1 e SRL2 é o 200.133.57.34, 200.130.35.71 e 200.130.35.72.

Regras de Suporte/Operação/Manutenção- HTTPS e SSH

Liberar acesso TCP nas portas 22 (opcionalmente), 80 e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço.

Os equipamentos que devem estar liberados para realizar o suporte no SRL 1 e SRL2:

  • Sua rede administrativa:
  • IP CAM Cloud: 110.238.65.158/32
  • IP CAM Escritório: 200.196.51.178/32
  • IP CAM Escritório: 189.45.44.121/32

Liberar acesso TCP 80 e 443 originado pela equipe da CAM Tecnologia para atividades de suporte, operação e manutenção do serviço.

Liberar acesso ao repositório e inventário do Fone@RNP: 

 
* IP Repositório RNP: repositorio-fone.rnp.br
* IP Repositório POP-SC: rep.fone2014.pop-sc.rnp.br
* IP Inventario: inventario-fone.rnp.br

FIREWALL-SRL

Sentido : Internet --> DMZ

  • ORIGEM : SRC-DF-200.130.35.113
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 5060/UDP, 53/UDP/TCP e 8443/TCP
  • ORIGEM : PBX-IP-m1, PBX-IP-m2, PBX-IP-vrrp e GWT
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 5060/UDP, 53/UDP e TCP
  • ORIGEM : ANY
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 50000 a 60000/UDP
  • ORIGEM : 200.133.57.34, 200.130.35.71 e 200.130.35.72 (Estatística RNP, GWT, PBX-IP, CAMBOX(Todos os peers configurados no SRL)
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : ICMP/ECHO REQUEST/REPLAY
  • ORIGEM : 200.133.57.34, 200.130.35.71 e 200.130.35.72 (Zabbix RNP)
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 161/UDP
  • ORIGEM : 110.238.65.158/32, 200.196.51.178/32 e 189.45.44.121/32(ADM Fone@RNP)
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 80/TCP, 443/TCP e 22/TCP.
  • ORIGEM : repositório-fone.rnp.br, rep.fone2014.pop-sc.rnp.br e inventario-fone.rnp.br (Inventário do Fone@RNP)
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 80/TCP, 443/TCP e ICMP/ECHO REQUEST/REPLAY
  • ORIGEM : IP-NTP1 e IP-NTP2
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : 123/UDP

Sentido : DMZ --> Internet

PERMITIR CONEXÃO TCP ESTABELECIDAS
  • ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
  • DESTINO : PBX-IP-m1, PBX-IP-m2, PBX-IP-vrrp
  • PORTA : 5080/UDP
  • ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
  • DESTINO : GWT
  • PORTA : 5071/UDP
  • ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
  • DESTINO : ANY
  • PORTA : 50000/UDP a 60000/UDP
  • ORIGEM : SRL1 e SRL2 53/UDP/TCP
  • DESTINO : PBX-IP-m1,PBX-IP-m2, PBX-IP-vrrp e GWT
  • PORTA : 53/UDP/TCP
  • ORIGEM : SRL1 e SRL2
  • DESTINO : IP-SYSLOG (Caso a instituição tenha um servidor de syslog)
  • PORTA : 514/UDP
  • ORIGEM : TODOS OS PEERS GWT ou PBX-IP SIP CADASTRADOS NO SRL
  • DESTINO : SRL1 e SRL2 (Nível 1 ou 2)
  • PORTA : GWT-5071/UDP e/ou CAMBOX-5080/UDP e/ou ASTERISK-5060/UDP
  • ORIGEM : SRL1 e SRL2 (Nível 1 ou 2)
  • DESTINO : 200.130.35.71/32, 200.130.35.72/32, 200.133.57.34 e 200.130.35.113(SRC-DF)
  • PORTA : 8443/TCP
  • ORIGEM : SRL1 e SRL2 (Nível 1)
  • DESTINO : SRC-DF-200.130.35.113
  • PORTA : ICMP/ECHO REQUEST/REPLAY
  • ORIGEM : SRL1 e SRL2 (Nível 1)
  • DESTINO : SRL1 e SRL2 (Nível 2)
  • PORTA : ICMP/ECHO REQUEST/REPLAY
  • ORIGEM : SRL1 e SRL2 (Nível 2)
  • DESTINO : SRL1 e SRL2 (Nível 1)
  • PORTA : ICMP/ECHO REQUEST/REPLAY
OBS: Remover do firewall os IP que não são mais utilizados:
34.95.196.149-CAM
35.184.99..197-CAM
189.26.241.16-CAM
200.143.193.26-Estatistica-RNP
200.130.77.77-Zabbix-RNP
200.222.21.221-CAM
foneatrnp/srl_firewall.1726750982.txt.gz · Última modificação: 2024/09/19 10:03 por marcos.marcello

Ferramentas da página

Exceto onde for informado ao contrário, o conteúdo neste wiki está sob a seguinte licença: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki