FreeSWITCH的acl

已于 2023-02-28 22:07:36 修改
阅读量970 收藏 2
点赞数
分类专栏: FreeSWITCH 文章标签: 信息与通信 Powered by 金山文档
于 2023-02-26 20:35:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56167818/article/details/129230830
版权

acl.conf.xml的开始几行就给出了注释,说这些acl会自动创建:

  • rfc1918.auto - RFC1918 Space

  • nat.auto - RFC1918 Excluding your local lan.

  • localnet.auto - ACL for your local lan.

  • loopback.auto - ACL for your local lan.

上面每个项目都非常清楚。

可惜还是有少数人不去留意这些,导致一些低级错误。

我曾经碰到过一个故障,就是originate sofia/internal/1234@ip_addr呼叫公网地址,fs应该给ext-sip-ip和ext-rtp-ip,但是没有这么做,呼叫任何地址都给local_ip_v4,查了半天才知道这哥们覆盖了loopback.auto,他是这样定义的:

<list name="loopback.auto" default="allow">
</list>

这样测试:

fs_cli -x 'acl 127.0.0.1 loopback.auto'
true # 这个没问题

fs_cli -x 'acl 113.113.113.113 loopback.auto'
true # 但明显是个nat地址,怎么会是回环地址呢?

mod_sofia是这样检查nat的:

int sofia_glue_check_nat(sofia_profile_t *profile, const char *network_ip)
{
    switch_assert(network_ip);

    return (profile->extsipip &&
            !switch_check_network_list_ip(network_ip, "loopback.auto") &&
            !switch_check_network_list_ip(network_ip, profile->local_network));
}

profile已经定义了extsipip,地址不是loopback.auto,地址不是localnet(名字可配置)

同时满足这三个条件,那就是nat地址。

这些东西简单归简单,但是要辨析清楚。

一般需要关注的是下面几个acl:

  1. domains, 跳过认证

sip proflie默认这样配置:<param name="apply-inbound-acl" value="domains"/>

可以在acl.conf.xml修改domains,比如allow某些落地网关的ip地址。

  1. localnet.auto

sip proflie默认这样配置: <param name="local-network-acl" value="localnet.auto"/>

如果你的本地网不规范(比如明明是公网地址但需要当内网看待),那么需要调整localnet.auto的配置。

  1. apply-candidate-acl

sip profile 默认不配置,但跟这样配置<param name="apply-candidate-acl" value="wan.auto"/>是等效的。

如果在纯内网环境调试js.sip,那么可以配置 <param name="apply-candidate-acl" value="any.auto",在acl.conf.xml配置any.auto为所有都allow,其实就是放行私网地址(默认只放行公网地址)。

  1. esl.auto

在acl.conf.xml增加esl.auto配置,allow 127.0.0.0/24和其它可能的地址(esl客户端的地址),在event_socket.conf.xml里面使用它(esl.auto)。

全文完。

无名387
关注
专栏目录
freeswitch指南1
01-09
freeswitch 指南
Freeswitch学习笔记:ACL访问控制,限制IP访问 更改默认密码 提高安全性
irizhao的专栏
04-17 1万+
近期发现很多美国,英国,加拿大的IP在连接FS,肯定要对他们进行限制。一是可以使用防火墙控制这些垃圾国家的访问(直接限制A类地址,哈哈),二是ESL只允许可信任的IP访问。另外还有号码的黑名单设置。 一、防火墙设置:最安全,直接限制于外: 二、ACL的IP设置: 在生产环境中,只考虑把电话接通还是不够的,还得考虑安全性。上面的方法只使用5080端口从public Dia...
freeswitch esl :Rejected by acl “loopback.auto“问题
lucky的专栏
09-08 2489
在event_socket.conf.xml配置文件中,取消该行注释: <param name="apply-inbound-acl" value="loopback.auto"/> 在acl.conf.xml中增加: <listname="loopback.auto"default="allow"> <nodetype="allow"cidr="你自己的希望的网段/29"/> </list> ...
呼叫中心中间件呼入配置说明讲解(mod_cti基于FreeSWITCH)
qiiiio的博客
12-19 282
外线呼入配置说明讲解(mod_cti基于FreeSWITCH),一、落地IP对接方式。
Freeswitch修炼宝典(一)-----freeswitch的方法入门解读
果冻小玩纸的博客
09-12 7532
   基本概念就不说了,这里直接说一下freeswitch中的方法,也许你们常听说freeswitch中APP,API没有理解这2个的具体含义,我用比较简单的方法说明一下,APP就类似内部封装的function,freeswitch可以自己使用操作。比如: bridge,echo,park等等。API就相同于我们通俗说的接口,有点像带有token认证机制的restful接口,使用fs_cli控制...
freeswitchACL规则
求真得真的博客
10-13 2398
freeswitch是一款好用的VOIP开源软交换平台。VOIP公共网络中的安全问题是最重要的问题,我们必须对网络端口的访问权限做出限制。ACL全称Access Control List,意为访问控制列表,是一个权限(或规则)列表,列表定义了允许哪些网络实体访问目标对象。对于公共网络中的VOIP服务,不管如何强调安全性都不为过,linux服务器本身的防护墙和fs服务的acl规则都要正确配置,尽可能的预防和减少sip扫描的威胁。空空如常求真得真。
freeswitch对接WEBRTC的一个candidate问题
求真得真的博客
03-31 1605
概述 近几年,WEBRTC的完善与成熟,使得网页上使用webrtc的应用越来越多。 Freeswitch是一个开源的软交换平台,可以直接支持webrtc的对接方式。 最近在测试fs和webrtc的对接中碰到一个问题。记录如下。 问题描述。 客户A,使用webrtc页面注册到fs,并发起呼叫到客户B。 A客户收到488 SIP响应码,结束呼叫。 环境 centos:CentOS release 7.0 (Final)或以上版本 freeswitch:v1.8.7 GCC:4...
2021-06-11 补坑篇 voip调试 freeSwitch osip libnice
weixin_41740391的博客
06-11 701
由于本VoIP系统采用oSIP+libnice+freeSwitch构建,实现P2P媒体传输 故调试采用freeSwitch 旁路媒体服务模式,只传输交换sip中的libnice的穿透sdp candidate信息,而采用的下列配置信息: 修改 vi sip_profiles/internal.xml 1.媒体bypass-media 模式 在调试过程中发现freeSwitch可自动调用candidate解析,所以尝试了下加入以下设置,但此模式不试用bypass-media模式 <param na
FreeSWITCH学习笔记 第一场 第四个镜头 局域网支持
爱清清的专栏
10-24 1582
FreeSWITCH局域网支持配置
Freeswitch在阿里云服务器语音不通问题小记(FS的NAT穿越穿透)_华陌飞尘_新浪博客...
onebird_lmx的博客
05-19 935
我原来都是在公司的服务器或自己的开发环境安装FS,这次必须在阿里云上安装,自己觉得没问题,但安装好就就发现问题出来了。。 语音不通,压根就没声音! 本地PC上抓包一看,怎么回事,所有RTP包都发给了阿里云的私网地址,那当然不会通了,而后,再看SDP,服务器发过来的就是私网地址,怎么会这样呢? ---其实也很简单,因为阿里云的服务器地址就只有私网地址,他的公网地址是NAT映射的!也就是...
freeswitch关于支持jssip的配置
03-02
总结来说,本文主要讲述了在FreeSWITCH中配置jssip支持时需要注意的几个关键环节:配置mediaproxy模式、处理SIP代理设置、支持WebRTC的wss服务、配置SSL证书以及在局域网内部署ACL规则。这些步骤确保了FreeSWITCH...
Centos8一键安装freeswitch(先看描述中的使用手册和预览地址)
05-25
一键安装freeswitch脚本,提供web可视化管理GUI,jssip demo,单呼,组呼,群呼,广播,会议,黑名单,acl,呼叫转移,监听通话,系统报警,录音,录像,防火墙,turn,wss,备份,抓包,操作记录,日志查看等等。...
freeswitch安装步骤与配置支持webrtc
12-13
### Freeswitch安装步骤与配置支持WebRTC #### 一、概述 Freeswitch是一款开源的电信级IP通信平台,支持多种语音协议如SIP、H.323等,并且能够提供高质量的语音通话服务。随着WebRTC技术的发展,越来越多的应用...
centos7.9 freeswitch webrtc安装配置.docx
04-18
- **应用ICE ACL**:在`/etc/freeswitch/sip_profiles/internal.xml`中,设置应用ICE ACL,如`<param name="apply-candidate-acl" value="localnet.auto"/>`等,确保WebRTC客户端之间的通信不会因NAT问题中断。...
freeswitch四、局域网支持
qq_40170041的博客
09-23 537
在局域网内进行的测试,需要进行ACL的配置。
访问限制【学习笔记】
Allen . Liu
04-17 243
class Person(object): def run(self): print(self.__money) print("run") def eat(self,food): print("eat"+food) def __init__(self,name,age,height,weight,money): ...
Freeswitch在NAT环境下ext-rtp-ip和ext-sip-ip失效/不生效的问题
爱偶尔受伤的博客
09-09 4934
Freeswitch在NAT环境下ext-rtp-ip不生效的问题最终版环境描述问题描述问题现象问题定位问题解决第一次尝试第二次尝试第三次尝试switch_check_network_list_ip方法解析 环境描述 在生产环境下我需要使用Freeswitch作为SIP的网关来与第三方对接,具体的网络环境如下 #mermaid-svg-vS8qzFouNaDmfCp6 .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--me
freeswitch配置之nat穿越
热门推荐
飞鸟的博客
12-11 1万+
一、路由器去掉upnp和alg功能。 二、在fs上开启rport功能       三、设置rtp自动调整功能     四、设置sip和rtp的外网地址         五、设置acl参数,以此来判断内外网呼叫         acl中配置lan               六、在路由器上端口映射fs的sip端口和rtp端口 七、针对没有rport功能的
freeswitch 权威指南 --- 基础篇
最新发布
freeking101的博客
01-23 8873
freeswitch 权威指南 --- 基础篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值