• Las instalaciones on-premise o auto-hospedadas son más complejas de instalar y solucionar problemas, por lo que requieren soporte técnico de pago. Para soporte gratuito, pruebe primero con 3CX StartUP o una instalación hospedada por 3CX, usando un proveedor de Troncal SIP soportado.

Verificación de Firewall 3CX

Status
Cerrado para nuevas respuestas.

jsanchez

Free User
Registrado
17 Mar 2018
Mensajes
36
Hola,
Desde que realice la ultima actualización de mi PBX la verificacion de mi firewall se cae al finalizar el test.
Al parecer agregar nuevos puertos ya que desde 10600 hacia el 10998 el resultado siempre me da error a pesar que ya están aperturados esos puertos en mi firewall.

Por favor su acostumbrada ayuda para resolver este inconveniente.
Gracias

upload_2018-12-4_16-49-57.png
 
Hola @jsanchez

El error de Full Cone Test Failed hace referencia que los puertos no están abiertos en el firewall/router o estás usando alguna lista de acceso.

Esos puertos debes abrirlos públicamente para que cualquier fuente externa pueda contactarlo.

Revisa nuevamente tu configuración, recuerda que si hay otro dispositivo adelante del router/firewall como un modem debes asegurarte de que esté en modo Bridge. Recuerda hacer un reboot a los equipos luego de la configuración.

Si estás usando Linux debes revisar las Tablas IP porque lo más probable es que necesites modificar la tabla para que agregues esos puertos 9000-10999 UDP.

Un saludo!
 
Hola jsanchez,

Agrego lo siguiente:

Es esta una PBX que haz actualizado desde una version anterior? Si es asi, es problable que debas configurar iptables en la maquina linux para permitir estos nuevos puertos. Debes permitir los puertos 9000-10999 udp

Dejanos saber si esto ayudo a solucionar tu problema o aun tienes problema
 
Yeison, gracias por tu tiempo. Me inclino mas por el tema de IPTables y me refiero a que te refieres al IPTables de la PBX, pero por favor dame las pautas de como hacerlo.

Detallo mejor el problema.
Mi PBX la instale en Febrero del 2018 y el ISO que utilice en ese entonces era debian-9.2.1-amd64-netinst-3cx. no recuerdo que version tenia en ese entonces, pero desde esa fecha a la actualidad si se hizo una actualización importante.

A nivel de router/firewall los puertos si están nateados y todo lo demás que se debe considerar esta configurado correctamente.

Como lo ilustra la imagen los puertos UDP desde el 9000 hasta el 109999 están abiertos y la prueba de test va bien hasta el puerto 9398, es recién a partir del puerto 10600.... que el test da error.

upload_2018-12-6_16-21-27.png

upload_2018-12-6_16-27-35.png

upload_2018-12-6_16-27-53.png
 
Hola @jsanchez

Las tablas IP deberías tenerlas como se muestran a continuación, esa es mi configuración y se ejecuta bien la prueba sobre esos puertos

upload_2018-12-7_6-44-9.png


root@debian3cx:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DROP all -- anywhere anywhere ctstate INVALID
DROP all -- loopback/8 anywhere
ACCEPT all -- anywhere sip.mcast.net
DROP all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
DROP all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
DROP all -- anywhere anywhere ADDRTYPE match dst-type ANYCAST
DROP all -- anywhere base-address.mcast.net/4
ACCEPT tcp -- anywhere anywhere multiport dports http,https,5000,5001,5015,sip,sip-tls,5090 tcp flags:FIN,SYN,RST,ACK/SYN ctstate NEW
ACCEPT udp -- anywhere anywhere multiport dports tftp,sip,5090,afs3-fileserver:10999
ACCEPT udp -- anywhere anywhere multiport dports netbios-ns,netbios-dgm
ACCEPT tcp -- anywhere anywhere multiport dports netbios-ssn,microsoft-ds
SSHBRUTE tcp -- anywhere anywhere tcp dpt:ssh flags:FIN,SYN,RST,ACK/SYN ctstate NEW
ACCEPT icmp -- anywhere anywhere icmp echo-reply ctstate NEW
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ctstate NEW
ACCEPT icmp -- anywhere anywhere icmp time-exceeded ctstate NEW
ICMPFLOOD icmp -- anywhere anywhere icmp echo-request ctstate NEW
DROP udp -- anywhere anywhere multiport dports loc-srv,microsoft-ds
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
DROP tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
DROP udp -- anywhere anywhere udp spt:domain
REJECT tcp -- anywhere anywhere tcp dpt:auth flags:FIN,SYN,RST,ACK/SYN ctstate NEW reject-with tcp-reset
LOG all -- anywhere anywhere limit: avg 1/sec burst 100 LOG level warning prefix "iptables[DOS]: "
ACCEPT all -- anywhere sip.mcast.net
ACCEPT tcp -- anywhere anywhere multiport dports 5000,5001,sip,sip-tls,5090 tcp flags:FIN,SYN,RST,ACK/SYN ctstate NEW
ACCEPT udp -- anywhere anywhere multiport dports sip,5090

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain ICMPFLOOD (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: ICMP side: source mask: 255.255.255.255
LOG all -- anywhere anywhere recent: UPDATE seconds: 1 hit_count: 6 TTL-Match name: ICMP side: source mask: 255.255.255.255 limit: avg 1/sec burst 1 LOG level warning prefix "iptables[ICMP-flood]: "
DROP all -- anywhere anywhere recent: UPDATE seconds: 1 hit_count: 6 TTL-Match name: ICMP side: source mask: 255.255.255.255
ACCEPT all -- anywhere anywhere

Chain SSHBRUTE (1 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: SSH side: source mask: 255.255.255.255
LOG all -- anywhere anywhere recent: UPDATE seconds: 300 hit_count: 10 name: SSH side: source mask: 255.255.255.255 limit: avg 1/sec burst 100 LOG level warning prefix "iptables[SSH-brute]: "
DROP all -- anywhere anywhere recent: UPDATE seconds: 300 hit_count: 10 name: SSH side: source mask: 255.255.255.255
ACCEPT all -- anywhere anywhere
root@debian3cx:~#
 
Alejandro gracias por tu respuesta.
Por favor me podrias si no es mucha la molestia pasarme un sript parar estas reglas. no se muchode iptables.

Gracias
 
Hola @jsanchez en google hay muchos ejemplos de como configurar las IPtables

En la siguiente guía se muestra como alterar puertos en las tablas IP https://www.3cx.com/docs/manual/firewall-router-configuration/

Sin embargo vos como usuario administrador de la central debes seleccionar un Sistema Operativo en que te sientas cómodo administrar.

Un saludo!
 
Status
Cerrado para nuevas respuestas.

Miembros online

Estadísticas del Foro

Temas
20.800
Mensajes
104.470
Miembros
69.701
Último miembro
NGPMH
Obtenga 3CX - ¡Completamente Gratis!

Conecte a su equipo y clientes Central Telefónica Chat en Vivo Videoconferencia

Hospedado o Autgestionado. Hasta 10 usuarios gratis para siempre. Sin tarjetas de crédito. Pruébelo sin riesgos.

3CX
Ya existe una Cuenta 3CX asociada a ese correo electrónico. Se le redirigirá al Portal del Cliente para acceder a su cuenta o restablecer su contraseña si no recuerda la anterior.