В целом астериск хорошо работает в сетях с использованием брэндмаура.

Одно при настройке firewall необходимо учитывать специфику используемого протокола.

SIP. Так как SIP это RTP протокол, то необходимо открывать порт сигнализации (по умолчанию 5060), а также порты для медиа-трафика. Так как используется диапазон портов, то открывать его надо весь. Диапазон используемых портов настраивается в rtp.conf. Пример:

 ;

 ; RTP Configuration

 ;

 [general]

 ;

 ; RTP start and RTP end configure start and end addresses

 ;

 rtpstart=10000

 rtpend=20000

 

Соответственно, открывать надо порты данного диапазона. Например, для iptables:

 # SIP on UDP port 5060. Other SIP servers may need TCP port 5060 as well

iptables \-A INPUT \-p udp \-m udp \--dport 5004:5082 \-j ACCEPT

# RTP \\- the media stream

iptables \-A INPUT \-p udp \-m udp \--dport 10000:20000 \-j ACCEPT

Более подробно можно прочесть на voip-info.org.

IAX2. Тут вообще проще простого. Так как и сигнализация и данные идут в едином потоке, необходимо открыть единственный UDP порт (4569 по дефолту).

Asterisk & NAT

В целом с NAT проблем нет.