Um servidor VoIP, como Asterisk, FreePBX, Issabel ou qualquer outro PBX baseado em SIP/IAX, depende de portas específicas para funcionar corretamente. O bloqueio incorreto dessas portas no firewall causará falhas em chamadas, ausência de áudio ou problemas de registro de ramais.
Este post traz uma explicação definitiva sobre as portas que devem ser abertas, com foco em segurança e desempenho. Não se trata apenas de uma lista, mas de uma compreensão prática para quem configura firewalls em ambientes reais.
1. SIP – Porta de sinalização
O protocolo SIP é o mais utilizado em servidores VoIP. Ele é responsável pelo estabelecimento, modificação e encerramento das chamadas.
Portas SIP:
| Porta | Protocolo | Descrição |
|---|---|---|
| 5060 | UDP/TCP | SIP padrão não criptografado |
| 5061 | TCP | SIP com TLS (criptografado, usado em SRTP/WebRTC) |
A porta 5060/UDP é a mais comum. Softphones, telefones IP, troncos SIP e operadoras costumam utilizar essa porta por padrão.
Se você utiliza SRTP ou WebRTC, a porta 5061/TCP deve ser liberada.
2. RTP – Portas de mídia (áudio)
O SIP apenas negocia a chamada. O tráfego de áudio (voz) é feito via RTP (Real-time Transport Protocol). O Asterisk, por padrão, usa a faixa de portas 10000 a 20000/UDP para esse tráfego.
Portas RTP:
| Porta(s) | Protocolo | Descrição |
|---|---|---|
| 10000–20000 | UDP | Tráfego de voz (RTP/RTCP) |
Essas portas são negociadas dinamicamente nas chamadas. Se o firewall bloquear essa faixa, os ramais podem se registrar e até chamar, mas sem áudio bidirecional.
Você pode limitar essa faixa editando o arquivo /etc/asterisk/rtp.conf:
[general]
rtpstart=10000
rtpend=10100
3. IAX2 – Alternativa ao SIP
O protocolo IAX2 (Inter-Asterisk eXchange) permite encapsular sinalização e áudio numa única porta. Ideal para comunicação entre servidores Asterisk.
Porta IAX2:
| Porta | Protocolo | Descrição |
|---|---|---|
| 4569 | UDP | Protocolo IAX2 |
Muito utilizado entre filiais, por simplicidade de NAT.
4. Interface Web e APIs (FreePBX, Issabel, Asterisk Puro)
A maioria das interfaces administrativas utiliza HTTP ou HTTPS. Além disso, o Asterisk possui APIs de controle remoto (como o AMI) que exigem portas abertas localmente ou remotamente.
Portas administrativas e APIs:
| Porta | Protocolo | Descrição |
|---|---|---|
| 80 | TCP | Interface Web HTTP |
| 443 | TCP | Interface Web HTTPS |
| 5038 | TCP | AMI – Asterisk Manager Interface |
Nunca exponha 5038 para a internet sem autenticação robusta e IP restrito. Pode ser usado por CRM, dashboards, URA e sistemas externos.
5. WebRTC e SRTP (opcional)
Se você utiliza WebRTC (softphones via navegador) ou comunicação segura via SRTP, algumas portas adicionais são exigidas:
| Porta | Protocolo | Descrição |
|---|---|---|
| 5061 | TCP | SIP com TLS (SIPS) |
| 8089 | TCP | WebSockets do Asterisk HTTP Server (usado em WebRTC) |
6. Regras de iptables – Exemplo prático
Suponha que você está usando iptables e deseja abrir as portas essenciais. Aqui está um exemplo direto:
# SIP
iptables -A INPUT -p udp --dport 5060 -j ACCEPT
iptables -A INPUT -p tcp --dport 5060 -j ACCEPT
iptables -A INPUT -p tcp --dport 5061 -j ACCEPT
# RTP (áudio)
iptables -A INPUT -p udp --dport 10000:20000 -j ACCEPT
# IAX2
iptables -A INPUT -p udp --dport 4569 -j ACCEPT
# Interface web e AMI
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 5038 -j ACCEPT
# WebRTC
iptables -A INPUT -p tcp --dport 8089 -j ACCEPT
Se você utiliza firewalld:
firewall-cmd --permanent --add-port=5060/udp
firewall-cmd --permanent --add-port=5060/tcp
firewall-cmd --permanent --add-port=5061/tcp
firewall-cmd --permanent --add-port=10000-20000/udp
firewall-cmd --permanent --add-port=4569/udp
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=5038/tcp
firewall-cmd --permanent --add-port=8089/tcp
firewall-cmd --reload
7. Boas práticas de segurança
- Restrinja a porta 5060 apenas aos IPs das operadoras e dos ramais reais.
- Use fail2ban para proteger o SIP contra tentativas de brute-force.
- Mantenha logs ativos no Asterisk para identificar comportamentos suspeitos.
- Não exponha o AMI ou interface web sem HTTPS e autenticação forte.
- Sempre que possível, opte por VPN para interconexão entre servidores ou ramais externos.
Conclusão
VoIP não é só abrir a 5060. Para garantir chamadas funcionais com áudio bidirecional, integração com painéis e segurança básica, é essencial abrir corretamente as portas de sinalização, mídia e gerenciamento. Um firewall mal configurado é um dos principais motivos de falhas em servidores VoIP.
Este post serve como referência definitiva para configurar firewalls em ambientes VoIP.
Se você usa Asterisk puro, FreePBX, Issabel, FusionPBX ou outra solução, siga este guia e adapte conforme necessário.