Freeswitch学习笔记：ACL访问控制，限制IP访问 更改默认密码 提高安全性

    近期发现很多美国，英国，加拿大的IP在连接FS，肯定要对他们进行限制。一是可以使用防火墙控制这些垃圾国家的访问（直接限制A类地址，哈哈），二是ESL只允许可信任的IP访问。另外还有号码的黑名单设置。

一、防火墙设置：最安全，直接限制于外：

二、ACL的IP设置：

     在生产环境中，只考虑把电话接通还是不够的，还得考虑安全性。上面的方法只使用5080端口从public Dialplan做互通，而发送到5080端口的INVITE是不需要鉴权的，这意味着任何人均可以向它发送INVITE从而按你设定的路由规则打电话。这种方式用在端局上问题可能不大，因为你的public Dialplan仅将外面的来话路由到本地用户。但在汇接局模式下，你可能将一个来话再转接到其他局去，那你就需要好好考虑一下安全问题了，因为你肯定不希望全世界的人都通过你的汇接局免费的往各端局打电话。
为了防止这个问题，我们在汇接局上关闭5080端口，而让所有来话都送到5060端口上（internal Profile）。5060端口上的来话是需要先鉴权才能路由的。在这种汇接局模式中，一般会使用IP地址鉴权的方式。而IP地址鉴权就会用到ACL。
    ACL（Access Contorl List）即访问控制列表，它通过一个列表矩阵来控制哪些用户可以访问哪些资源。在FreeSWITCH中，实现了基于ACL的鉴权（当然，ACL不仅用于SIP鉴权，还可以用在其他地方）。其中，internal Profile默认使用“domains”这个ACL进行鉴权。读者可以在internal.xml配置中找到如下的配置：

<param name="apply-inbound-acl" value="domains"/>

上述配置说明，当收到呼叫（INVITE）请求时，要查看“domains”这个ACL，看是否允许来源IP地址进行呼叫。
ACL是在conf/autoload_configs/acl.conf.xml中配置的，其中domains的默认配置如下：

<list name="domains" default="deny">
 <!-- domain=
ACL --> ACL -->
 <node type="allow" domain="$${domain}"/>
 <!--
IP IP
ACL ACL
 cidr= cidr=
 --> -->
 <!-- <node type="allow" cidr="192.168.1.123/32"/> -->
</list>

    其中，第1行说明该列表项的名称是“domains”，可以在其他地方引用，默认（default）的规则是拒绝请求（deny）。其他几行的的含义我们就不在这里介绍了。
    如果我们想在D上允许来自A、B、C的呼叫，就可以把A、B、C的地址加到上述配置里面，如可以添加以下配置，以允许（allow）来自这些IP的呼叫 [2]。
<node type="allow" cidr="192.168.1.A/32"/>
<node type="allow" cidr="192.168.1.B/32"/>
<node type="allow" cidr="192.168.1.C/32"/>
通过设置上述ACL，我们就保证了只有授权的用户才能从D上进行路由（当然要记得我们关闭了5080端口，因此所有呼叫要送到5060端口上）。

三、号码黑名单：

FreeSWITCH黑名单功能设置

功能描述：对呼叫的号码进行过滤

步骤：

1、编译mod_blacklist 模块：进入源目录/usr/local/src/freeswitch  --> make mod_blacklist-install

2、加载mod_blacklist模块： fs_cli  -->  reload mod_blacklist   或   modules.conf.xml  添加 -->   <load module="mod_blacklist"/>  重启FS

3、设置mod_blacklist模块：默认blacklist.conf.xml 如下：

　　<configuration name="mod_blacklist.conf" description="Blacklist module">
　　　　<lists>

　　　　　　<list name="example" filename="/usr/local/freeswitch/blacklists/blocked.list"/>
　　　　</lists>
　　</configuration>

　　在/usr/local/freeswitch/blacklists 目录下创建blocked.list ,输入黑名单号码内容，一行一个，保存，修改该文件的用户组以与FS相同，权限可读写。

4、设置拨号规则：

　　1> 如需呼出黑名单限制 ，在default.xml 中最前面增加如下规则

　　<extension name="blacklist_check">
　　　　<condition field="${blacklist(check example ${destination_number})}" expression="^true$">
　　　　　　<action application="answer" data=""/>
　　　　　　<action application="playback" data="$${base_dir}/sounds/music/city_of_sky.wav"/>
　　　　　　<action application="hungup" data=""/>
　　　　</condition>
　　</extension>

　　2> 如需呼入黑名单限制，在public.xml 中最前面增加如下规则

　　<extension name="blacklist_check">
　　　　<condition field="${blacklist(check example ${caller_id_number})}" expression="^true$">
　　　　　　<action application="answer" data=""/>
　　　　　　<action application="playback" data="$${base_dir}/sounds/music/Speak.wav"/>
　　　　　　<action application="hangup" data=""/>
　　　　</condition>
　　</extension>

　　注：如上的呼入呼出黑名单都放在list name= example 的黑名单中,也可以将呼入呼出拆分为单独的文件使用，配置仅需再拨号规则中修改对应的listname值即可。

5、Blacklist API：

1 2 3 4 5 6 7

>blacklist help blacklist check <listname> <item>   // 检查内存中黑名单列表是否有item，有返回true,没有则返回false blacklist add <listname> <item>     // 在内存 listname 对应的列表中增加 item 项 blacklist del <listname> <item>     // 在内存 listname 对应的列表中删除 item 项 blacklist save <listname>           // 将内存 listname 中的所有 item 写入对应的文件中，如 /usr/local/freeswitch/blacklists/blocked.list blacklist reload                    // 将文件中的数据更新到 内存中 blacklist help                      // 显示该模块所有的API

更改FreeSWITCH的默认密码：

FreeSWITCH的默认密码为1234，客户端使用该密码拨号时，会有10秒的延时。通过修改此默认密码，可以避免这个延时。如把新密码设为2345，此时可以把conf目录下的vars.xml中的：
           <X-PRE-PROCESS cmd="set" data="default_password=1234"/>
修改为
           <X-PRE-PROCESS cmd="set" data="default_password=2345"/>