Сетевые экраны D-link DFL-260E/860E/1660/2560/2560G NetDefend UTM обеспечивают защиту от вирусов, несанкционированного доступа и нежелательного контента, а также расширенные возможности управления, мониторинга и обслуживания сети предприятия.
![](https://habrastorage.org/r/w780q1/getpro/habr/post_images/812/d4a/e3e/812d4ae3ed297b5ad6b90ae085715f57.jpg)
Рассмотрим настройку этих сетевых экранов для работы с 3CX Phone System, находящейся в локальной сети за NAT. Настройка проводится по рекомендациям 3CX, в частности, публикуются неоходимые порты сервисов 3CX Phone System.
Добавьте в адресную книгу Address Book D-link IP адреса сервера 3CX (в нашем примере 192.168.10.3) и SIP сервера провайдера (в нашем примере 193.200.32.23).
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/7f4/ba1/d94/7f4ba1d94aaadf5fdf259c444c12cec5.png)
Добавьте новый тип сервиса в раздел Services. Опишите в нем тип протокола и используемые порты. На картинке ниже показана настройка сервисов SIP и RTP.
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/8ca/a0c/589/8caa0c58932c8c516d7ee90fedfc2bba.png)
Также создайте сервис для 3CX Tunnel.
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/8a4/8be/8b4/8a48be8b475e69de8ab4321d8df26df9.png)
И, напоследок, создайте сервис для HTTPS сервиса 3CX.
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/bb2/f99/744/bb2f99744e08efeece9ff3537b1a3766.png)
Если в инсталляции системы работает веб сервер IIS, а не Abyss, можно воспользоваться заранее определенным описанием сервиса HTTPS.
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/050/1b8/68b/0501b868b408673ec604435be58f04d6.png)
В разделе IP Rules создайте папку, например VoIP, и в ней шесть правил для прохождения VoIP трафика через D-link DFL:
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/2dc/f36/f97/2dcf36f978efd53a102c98b298193a80.png)
Рассмотрим порядок создания правил на примере одного из них, для SIP и RTP трафика.
Первое правило задает SAT преобразование.
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для SIP.](http://habrastorage.org/r/w1560/getpro/habr/post_images/7ae/8e5/0ec/7ae8e50ecebb0d8d330d93f7aa9dd073.png)
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для SIP.](http://habrastorage.org/r/w1560/getpro/habr/post_images/eb6/f8e/518/eb6f8e518698ff04d240efce85a699f3.png)
Второе правило аналогично первому, но просто разрешает это SAT преобразование.
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение Allow правил для SIP.](http://habrastorage.org/r/w1560/getpro/habr/post_images/e5a/b63/f6b/e5ab63f6b5912ce522203b2c3973b6f4.png)
Правила для сервиса 3CX Tunnel и HTTPS аналогичны, но с одним отличием – трафик разрешается из любой сети, а не только от IP адреса SIP провайдера. Это делается для того, чтобы пользователь 3CX Client мог подключаться к системе через 3CX Tunnel из любой точки мира.
Для сокращения размера статьи приведем пример только для правила публикации сервиса 3CX Tunnel. Правило для HTTPS создается аналогично.
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для 3CX Tunnel.](http://habrastorage.org/r/w1560/getpro/habr/post_images/0ca/4eb/f16/0ca4ebf16a1f11f566728f5379f675f1.png)
В конце настройки не забудьте сохранить изменения и быстро переподключиться к устройству. В противном случае новая конфигурация не будет сохранена!
![image image](https://habrastorage.org/r/w1560/getpro/habr/post_images/ff6/414/531/ff6414531f13274782ebfc5a474f4cd2.png)
![](https://habrastorage.org/getpro/habr/post_images/812/d4a/e3e/812d4ae3ed297b5ad6b90ae085715f57.jpg)
Рассмотрим настройку этих сетевых экранов для работы с 3CX Phone System, находящейся в локальной сети за NAT. Настройка проводится по рекомендациям 3CX, в частности, публикуются неоходимые порты сервисов 3CX Phone System.
Определение хостов и сервисов
Добавьте в адресную книгу Address Book D-link IP адреса сервера 3CX (в нашем примере 192.168.10.3) и SIP сервера провайдера (в нашем примере 193.200.32.23).
![image image](https://habrastorage.org/getpro/habr/post_images/7f4/ba1/d94/7f4ba1d94aaadf5fdf259c444c12cec5.png)
Добавьте новый тип сервиса в раздел Services. Опишите в нем тип протокола и используемые порты. На картинке ниже показана настройка сервисов SIP и RTP.
![image image](https://habrastorage.org/getpro/habr/post_images/8ca/a0c/589/8caa0c58932c8c516d7ee90fedfc2bba.png)
Также создайте сервис для 3CX Tunnel.
![image image](https://habrastorage.org/getpro/habr/post_images/8a4/8be/8b4/8a48be8b475e69de8ab4321d8df26df9.png)
И, напоследок, создайте сервис для HTTPS сервиса 3CX.
![image image](https://habrastorage.org/getpro/habr/post_images/bb2/f99/744/bb2f99744e08efeece9ff3537b1a3766.png)
Если в инсталляции системы работает веб сервер IIS, а не Abyss, можно воспользоваться заранее определенным описанием сервиса HTTPS.
![image image](https://habrastorage.org/getpro/habr/post_images/050/1b8/68b/0501b868b408673ec604435be58f04d6.png)
Публикация сервисов
В разделе IP Rules создайте папку, например VoIP, и в ней шесть правил для прохождения VoIP трафика через D-link DFL:
- 2 правила для SIP трафика от хоста SIP провайдера. Не открывайте SIP сервис вашего сервера 3CX для всего мира!
- 2 правила для трафика 3CX Tunnel из любой сети
- 2 правила для HTTPS трафика из любой сети (управление сервером и информация о статусах и присутствии для клиентов 3CX Client)
![image image](https://habrastorage.org/getpro/habr/post_images/2dc/f36/f97/2dcf36f978efd53a102c98b298193a80.png)
Рассмотрим порядок создания правил на примере одного из них, для SIP и RTP трафика.
Первое правило задает SAT преобразование.
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для SIP.](http://habrastorage.org/getpro/habr/post_images/7ae/8e5/0ec/7ae8e50ecebb0d8d330d93f7aa9dd073.png)
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для SIP.](http://habrastorage.org/getpro/habr/post_images/eb6/f8e/518/eb6f8e518698ff04d240efce85a699f3.png)
Второе правило аналогично первому, но просто разрешает это SAT преобразование.
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение Allow правил для SIP.](http://habrastorage.org/getpro/habr/post_images/e5a/b63/f6b/e5ab63f6b5912ce522203b2c3973b6f4.png)
Правила для сервиса 3CX Tunnel и HTTPS аналогичны, но с одним отличием – трафик разрешается из любой сети, а не только от IP адреса SIP провайдера. Это делается для того, чтобы пользователь 3CX Client мог подключаться к системе через 3CX Tunnel из любой точки мира.
Для сокращения размера статьи приведем пример только для правила публикации сервиса 3CX Tunnel. Правило для HTTPS создается аналогично.
![image Настройка D-link DFL-260E/860E/1660/2560/2560G для работы с 3CX Phone System. Определение SAT правил для 3CX Tunnel.](http://habrastorage.org/getpro/habr/post_images/0ca/4eb/f16/0ca4ebf16a1f11f566728f5379f675f1.png)
В конце настройки не забудьте сохранить изменения и быстро переподключиться к устройству. В противном случае новая конфигурация не будет сохранена!
![image image](https://habrastorage.org/getpro/habr/post_images/ff6/414/531/ff6414531f13274782ebfc5a474f4cd2.png)