FreeSWITCH में ACL

इस लेख में मैं प्रलेखन से एक लेख के अर्क और FreeSWITCH में Acces Control List (ACL) के बारे में जो जानकारी जानता हूं, उसे एकत्र करने का प्रयास करूंगा।

तो, ACL कॉन्फ़िगरेशन फ़ाइल autoload_configs \ acl.conf.xml में लिखा गया है
कॉन्फ़िगरेशन टैग का नाम acl.conf है और इसके अंदर नेटवर्क-सूची सूची टैग है:

<configuration name="acl.conf" description="Network Lists"> <network-lists> </network-lists> </configuration> 

नेटवर्क-सूचियों में, एक या अधिक नामित ACL को परिभाषित किया जा सकता है:

 <list name="test" default="deny"> <node type="allow" cidr="1.2.3.0/24"/> </list> 

सूची में एक अद्वितीय नाम होना चाहिए और डिफ़ॉल्ट विशेषता डिफ़ॉल्ट क्रिया को परिभाषित करती है - इनकार (इनकार) या अनुमति (अनुमति)।
ध्यान दें कि FreeSWITCH स्वचालित रूप से निम्नलिखित नामों के साथ कई ACL बनाता है:
rfc1918.auto - RFC 1918
nat.auto - RFC 1918 आपके स्थानीय नेटवर्क को छोड़कर
localnet.auto - अपने स्थानीय नेटवर्क के लिए ACL
loopback.auto - अपने स्थानीय नेटवर्क के लिए ACL

RFC 1918 स्थानीय क्षेत्र नेटवर्क के लिए IP पतों की निम्न श्रेणियों को परिभाषित करता है:
10.0.0.0 - 10.255.255.255 - 10.0.0.0/8
172.16.0.0 - 172.31.255.255 - 172.16.0.0/12
192.168.0.0 - 192.168.255.255 - 192.168.0.0/16

सूची एक या अधिक नोड्स को परिभाषित करती है - नोड:
<नोड प्रकार = "अनुमति दें" cidr = "1.2.3.0/24" />
नोड का विशेषता प्रकार इनकार (इनकार) या अनुमति (अनुमति) हो सकता है, यह इस नोड के लिए नियम को परिभाषित करता है। नियम कम विशिष्ट से अधिक विशिष्ट पर लागू होते हैं। नोड में परिभाषित नियम सूची में डिफ़ॉल्ट रूप से परिभाषित नियम को ओवरलैप करते हैं (<सूची डिफ़ॉल्ट = "इनकार">)।
निम्न प्रकार की विशेषता निम्नलिखित में से एक हो सकती है:
cidr - क्लासलेस नोटेशन में IP पतों की श्रेणी को इंगित करता है, उदाहरण के लिए: 192.168.0.0/16
डोमेन - डोमेन को इंगित किया जाता है, एक चर के रूप में निर्दिष्ट किया जा सकता है, उदाहरण के लिए: $$ {डोमेन}
मेजबान - या तो एक विशिष्ट मेजबान को इंगित करता है, या एक अतिरिक्त पैरामीटर के साथ मेजबानों की सीमा को मुखौटा करता है।
उदाहरण:

 <node type="allow" domain="$${domain}"/> <node type="deny" cidr="192.168.42.0/24"/> <node type="deny" host="4.3.2.0" mask="255.255.255.0"/> 

तो, acl.conf.xml सिर्फ ACLs को परिभाषित करता है, अर्थात। IP पतों की अनुमत या अनुमत श्रेणियों वाली सूचियाँ।
मैं उन्हें कहां उपयोग कर सकता हूं?
कम से कम तीन स्थानों पर: SIP प्रोफ़ाइल, ग्राहक निर्देशिका, और event_socket।
ACLs का उपयोग डायलप्लान और एपीआई में भी किया जा सकता है।

एसआईपी प्रोफ़ाइल

SIP प्रोफाइल आमतौर पर conf / sip_profiles / में स्थित होते हैं
प्रोफ़ाइल विवरण में एसीएल के बारे में कई पैरामीटर हैं।

एप्लिकेशन इनबाउंड- एसीएल - उपयोगकर्ताओं को एक विशिष्ट एसीएल / सीआईडीआर से कॉल करने की अनुमति देता है
apply-register-acl - उपयोगकर्ताओं को एक विशिष्ट ACL / CIDR के साथ पंजीकरण करने की अनुमति दें

विशेषताएँ हो सकती हैं: एक नामित ACL (परिभाषित, उदाहरण के लिए, autoload_configs \ acl.conf.xml में) या CIDR:

 <param name="apply-inbound-acl" value="<acl_list|cidr>"/> <param name="apply-register-acl" value="<acl_list|cidr>"/> 

इस प्रकार, यदि आपके लॉग में इस तरह का संदेश दिखाई देता है:
2012-04-05 15: 08: 46.348105 [DEBUG] sofia.c: 7567 IP 82.xxx acl "डोमेन" द्वारा अस्वीकृत। डाइजेस्ट ऑर्ट में वापस आना।
सबसे पहले, यह एक त्रुटि नहीं है, यह एक डीबगिंग संदेश (नोट - DEBUG) है, और दूसरी बात, यह कहता है कि प्राधिकरण को "डोमेन" नाम के साथ ACL द्वारा खारिज कर दिया गया है और एक पासवर्ड (डाइजेस्ट ऑर्ट) के माध्यम से किया जाएगा।
इस तरह के संदेशों को <param name = "log-Cort-failures" value = "false" /> पैरामीटर के माध्यम से नकारा जा सकता है।

लागू-इनबाउंड-एसीएल और लागू-रजिस्टर-एसीएल मापदंडों को थोड़ा परिभाषित किया जा सकता है। इस स्थिति में, सभी ACL की जाँच की जाएगी और संदेश को अस्वीकार कर दिया जाएगा यदि ACL में से कोई भी फिट नहीं होता है (अंदर acl_list इसे OR के रूप में जांचा जाता है, तो कई मापदंडों के साथ इसे AND के रूप में जांचा जाता है)।
इन एसीएल में आईपी पते वाले फोन पासवर्ड निर्दिष्ट किए बिना कॉल (लागू-इनबाउंड-एसीएल) या रजिस्टर (अप्लाई-रजिस्टर-एसीएल) करने में सक्षम होंगे (जो कि, "401 अनधिकृत संदेश" प्राप्त किए बिना)।
याद रखें कि ACL किसी भी ट्रैफ़िक को ब्लॉक नहीं करता है । यदि आप अपने FreeSWITCH की सुरक्षा करना चाहते हैं, तो आपको फ़ायरवॉल को कॉन्फ़िगर करना होगा। इसके अलावा, यदि आप आउटगोइंग कॉल को सीमित करना चाहते हैं, तो आपको डायलपैन का उपयोग करके ऐसा करना होगा।
इसके अलावा, लागू-इनबाउंड-एसीएल और एप्लाइड-रजिस्टर-एसीएल पैरामीटर ऑर्क-कॉल पैरामीटर से निकटता से संबंधित हैं।
यह निर्धारित करता है कि क्या आवेदन-इनबाउंड-एसीएल और आवेदन-रजिस्टर-एसीएल जांच किया जाएगा।
<param name = "ost-calls" value = "$$ {internal_auth_calls}" />
झूठी इस प्रोफ़ाइल पर ACL के उपयोग को प्रतिबंधित करता है।
नोट: वर्तमान में प्रॉक्सी-कॉल प्रॉक्सी पंजीकरण के साथ काम नहीं करता है। आपको इसे अपने xml_curl स्क्रिप्ट निर्देशिका के अंदर या अपने प्रॉक्सी पर करने की आवश्यकता होगी।
एक और पैरामीटर:
अप्लाई-प्रॉक्सी- एसीएल - एसीएल को सत्यापित करने के लिए प्रॉक्सी सर्वर से प्राप्त एक्स-ऑटो-आईपी हेडर में निर्दिष्ट आईपी का उपयोग करें।
नोट: आपको इस हेडर को जोड़ने के लिए प्रॉक्सी को कॉन्फ़िगर करना होगा।
<param name = "apply -xy-acl" value = "myproxies" />
ट्रैफ़िक को एक या अधिक प्रॉक्सी के माध्यम से FreeSWITCH भेजने की अनुमति देता है।
प्रॉक्सी सर्वर को एक्स-ऑटो-आईपी नामक हेडर जोड़ना होगा जिसमें क्लाइंट का आईपी एड्रेस होगा।
FreeSWITCH प्रॉक्सी पर भरोसा करता है क्योंकि इसका आईपी प्रॉक्सी के ACL में निर्दिष्ट है और हैडर में IP मान को ACL प्रमाणीकरण के लिए IP क्लाइंट के रूप में उपयोग करता है।
और दो और, मेरी राय में, डरावना, पैरामीटर ACL के उपयोग को प्रभावित करते हैं:
स्वीकार-अंध-संधि - अगर सही पर सेट है, तो सत्यापन के बिना किसी भी प्रमाणीकरण को स्वीकार किया जाता है
स्वीकार-अंधा-रेग - यदि यह सच है, तो किसी भी पंजीकरण को सत्यापन के बिना स्वीकार किया जाता है

ग्राहकों की निर्देशिका

ग्राहक (उपयोगकर्ता) की परिभाषा में, आप CIDR निर्दिष्ट कर सकते हैं:

 <user id="1000" cidr="12.34.56.78/32,20.0.0.0/8"> 

ACL या CIDR को उपयोगकर्ता को परिभाषित करते समय ओटरल-एसीएल पैरामीटर में भी निर्दिष्ट किया जा सकता है:

 <include> <user id="1000" number-alias="1000"> <params> <param name="password" value="1234"/> <param name="vm-password" value="1000"/> <param name="auth-acl" value="1.2.3.0/8"/> </params> <variables> <variable name="accountcode" value="1000"/> <variable name="user_context" value="default"/> <variable name="effective_caller_id_name" value="Extension 1000"/> <variable name="effective_caller_id_number" value="1000"/> </variables> </user> </include> 

इस प्रकार, जब आप प्रोफ़ाइल पर ऑउट-कॉल सक्षम करते हैं, तो सब्सक्राइबर पासवर्ड द्वारा अधिकृत नहीं होगा, लेकिन निर्दिष्ट एसीएल द्वारा। यद्यपि, यदि ACL द्वारा प्राधिकरण विफल हो जाता है, तो यह अभी भी पासवर्ड द्वारा अधिकृत होगा।

event_socket

सॉकेट तक पहुंच का निर्धारण करने के लिए, आप एप्लिकेशन-इनबाउंड-एसीएल पैरामीटर जोड़ सकते हैं, जो एक नामित एसीएल या आईडीआईडी ​​निर्दिष्ट करता है:
<param name = "apply-inbound-acl" value = "<acl_list | cidr>" / |
ध्यान दें कि कई लागू-इनबाउंड-एसीएल विकल्प काम नहीं करेंगे। यह केवल एक होना चाहिए (एसआईपी प्रोफाइल के साथ तुलना करें - इसके विपरीत उनमें से कई हो सकते हैं)।

अनुप्रयोग (एप्लिकेशन)

Dialplan function check_acl आपको ACL की जाँच करने की अनुमति देता है:
check_acl <ip> <acl | cidr> [<hangup_cause>]
उदाहरण के लिए:

 <action application="check_acl" data="${network_addr} foo normal_clearing"/> <action application="check_acl" data="${network_addr} 1.2.3.0/8 normal_clearing"/> 

इस एप्लिकेशन को एक ग्लाइडर में इनलाइन कहा जा सकता है।

एपीआई कमांड्स

पुनः लोड ACLs

 reloadacl [<reloadxml>] 

यदि आपने acl.conf.xml को बदल दिया है, तो आप मौजूदा सूची को पुनः लोड कर सकते हैं।

एसीएल एसीएल के लिए आईपी पते की जाँच करता है

 acl <ip> <list|net> 

 freeswitch@mybox> acl 192.168.42.42 192.168.42.0/24 freeswitch@mybox> acl 192.168.42.42 list_foo 

'List_foo' की दूसरी पंक्ति के लिए, उस सूची के नाम का संदर्भ जिसे आपने acl.conf.xml में परिभाषित किया है।
ACL का उपयोग करके, acl एप्लिकेशन द्वारा रूट किया जा सकता है। उदाहरण के लिए, यदि आप एक ACL से list_foo नाम के मेजबानों के लिए कॉल छोड़ना चाहते हैं:

 <extension name="foo-hosts-calls"> <condition field="${acl(${network_addr} list_foo)}" expression="true"/> <condition field="destination_number" expression="(.*)"> <action application="bridge" data="sofia/default/$1@xxxx:5060"/> </condition> </extension> 

खैर, सामान्य शब्दों में, कुछ इस तरह से।