Настройки брэндмаура для прохождения VoIP трафика

Администратор,

В целом астериск хорошо работает в сетях с использованием брэндмаура.
Одно при настройке firewall необходимо учитывать специфику используемого протокола.

SIP. Так как SIP это RTP протокол, то необходимо открывать порт сигнализации (по умолчанию 5060), а также порты для медиа-трафика. Так как используется диапазон портов, то открывать его надо весь. Диапазон используемых портов настраивается в rtp.conf. Пример:
 ;
 ; RTP Configuration
 ;
 [general]
 ;
 ; RTP start and RTP end configure start and end addresses
 ;
 rtpstart=10000
 rtpend=20000
 
Соответственно, открывать надо порты данного диапазона. Например, для iptables:
 # SIP on UDP port 5060. Other SIP servers may need TCP port 5060 as well
iptables \-A INPUT \-p udp \-m udp \--dport 5004:5082 \-j ACCEPT
# RTP \\- the media stream
iptables \-A INPUT \-p udp \-m udp \--dport 10000:20000 \-j ACCEPT
Более подробно можно прочесть на voip-info.org.
IAX2. Тут вообще проще простого. Так как и сигнализация и данные идут в едином потоке, необходимо открыть единственный UDP порт (4569 по дефолту).

Asterisk & NAT

В целом с NAT проблем нет.