Порты необходимые для работы АТС на базе asterisk freePBX

Какие порты открыть для Asterisk/FreePBX и почему это важно

Развертывание собственной IP-АТС на Asterisk или FreePBX — это мощный шаг к независимости и гибкости в организации телефонии. Однако, вынося сервер за пределы локальной сети, вы автоматически делаете его целью для злоумышленников. Ежедневно боты сканируют интернет в поисках открытых портов 5060, 22 и 80, пытаясь взломать системы, совершать мошеннические звонки или использовать ваши ресурсы в DDoS-атаках.

Правильная настройка фаервола — не просто рекомендация, а обязательное условие безопасной эксплуатации.

У нас уже есть подробная статья про настройку связки fail2ban и модуля firewall для freePBX. Можно прочитать тут

Начнем с перечня портов которые необходимы для администрирования freePBX

Порт	Протокол	Как изменить	Назначение
22	tcp	nano /etc/ssh/sshd_config	ssh подключение
80 / 443	tcp	FreePBX: System Admin → Port Management	web подключение

Это базовые порты. Крайне рекомендую не пробрасывать эти порты через роутер без привязки к списку разрешенных IP.

Важно: Полное отсутствие прямого доступа к административным портам из интернета это очень жирный слой безопасности, не стоит пренебрегать этим. Все управление должно происходить через безопасный туннель (VPN) из доверенной сети.

Перечень портов для работы SIP сигнализации и прохождения голосового трафика.

Порт	Протокол	Как изменить	Назначение
5060	udp	FreePBX: Settings → Asterisk SIP Settings	SIP-сигнализация (стандартный порт)
10000-20000	udp	FreePBX: Settings → Asterisk SIP Settings (поле rtpstart и rtpend)	RTP/SRTP-поток (непосредственно голос)

Важно: 5060 порт всегда должен быть прикрыт белым списком кому разрешено подключаться ( операторы, удаленщики и др, на случай если у вас нет VPN.
Обязательно! Если АТС за nat (роутером) обязательно отключайте SIP ALG и перезагружайте роутер, чтобы он не вмешивался работу SIP трафика, иначе ваши пробросы портов работать не будут!

Если у вас не открыт порт 5060 udp, у вас не будет проходить регистрация номеров.
Если у вас не открыт диапазон портов 10000-20000 udp, у вас не будет проходить голосовой трафик. Без открытия этих портов вы не услышите собеседника.

Идеальный вариант для удаленных SIP-устройств (софтфоны на ноутбуках, телефоны в офисе филиала) — VPN. Устройство подключается к VPN-сети и работает с АТС как будто находится в локальной сети. Это радикально повышает безопасность.

Что делать, если у вас много выездных сотрудников

Часто вывешивают 5060 udp порт в интернет без привязки к белому списку, из-за выездных сотрудников с софтфонами на мобильных телефонах.

Есть простое решение, оформить FMC симкарты для выездных сотрудников которые будут зарегистрированы оператором на вашей АТС. Для работы не нужно никакое отдельное приложение и проброшенный 5060 в интернет, да и вообще интернет на такой симке не нужен, все работает через обычный GSM.

Таким образом вы закроете 2 проблемы. Неудобные мобильные приложения для звонков по SIP, открытый порт 5060 udp в интернет.

У кого взять FMC симки?

Не реклама. Вообще ниразу.

Почему не у большой 4ки операторов? Потому что FMC привязываются только к их ВАТС, нельзя регистрацию сделать на вашу АТС без костылей. Схема получается немного сложнее, но тоже можно.

Мы рекомендуем брать FMC симки в Объедененной Телекоммуникационной Компании (ОТК) - ссыль
Просто потому что без всяких закидонов симки прикручиваются к Asterisk на обычный extension ( как софтфон или IP телефон) и не нужно изобретать никакого велосипеда. Работает по всей России.

Заключение

Настройка портов для Asterisk/FreePBX — это баланс между функциональностью и безопасностью. Помните, что каждый открытый порт — это потенциальная дверь. Современные технологии, такие как VPN, позволяют надежно "спрятать" всю инфраструктуру от посторонних глаз, оставляя доступ только доверенным пользователям.

Телефонизация

2026-02-04 13:08 Инструкция FreePBX