Хороший совет.Repz писал(а):Телефонию в отдельный vlan запихните, включите acl.
В случае нечастого вызова абонентов международных направлений, как ещё одна преграда на пути дозвона - команда Authenticate с паролем. Ясно, что в случае получения доступа и пароль станет неминуемо известен. Однако это лучше чем ничего. Поскольку в случае брута пароля какого-то из телефонов, будет "перекрыт кислород" к международке.
Что касается советов, то тут как обычно нужно закрыть снаружи все сервисы. В файрволе прописать адреса операторов с которыми идёт гарантированная работа, остальные DROP. Демон ssh пусть слушает только локальный интерфейс. Неплохо показал себя в одной инсталяции простой но эффективный DenyHost на базе TCP Wrapers (https://en.wikipedia.org/wiki/TCP_Wrapper). Меньше лазеек - спокойнее жизнь.
