Лучше всего заблокировать все порты (iptables по умолчанию - DROP) и открыть только то, что вам нужно (вероятно, порт 5060, по крайней мере, для вашего сервера Asterisk). Если вам нужно администрировать звездочку извне, порт 80 должен быть открыт, если вы управляете им через веб-браузер, или порт 22, если вы используете ssh.
Обновить:
Для Asterisk я не думаю, что вам нужно открывать другие порты, и даже не уверен, что вам нужно открыть 5060. Если вы принимаете только звонки, поступающие от вашего VoIP-провайдера (с транком), нет необходимости открывать 5060.
Вам нужно открыть 5060, если у вас есть добавочные номера (или другая VoIP АТС), подключающиеся из Интернета, но я не рекомендую, если вы можете избежать этого. Вы можете использовать VPN вместо этого.
Мне кажется, лучше использовать звездочку в локальной сети (за маршрутизатором / сервером с NAT и брандмауэром), без прямого подключения к Интернету. В этом случае ваш интернет-сервер (или маршрутизатор) должен перенаправить диапазон портов RTP, который вы используете в звездочке (возможно, 8000-10001), на ваш сервер звездочки. Вам также необходимо переадресовать порт 5060, если вы получаете новые подключения к нему.
Obs: новый вызов, полученный от транка (например, DID), не является новым соединением с 5060, потому что соединение с вашим VoIP-провайдером, использующим транк, инициируется звездочкой, поэтому оно находится в состоянии RELATED или ESTABLISHED для брандмауэра и должно быть уже авторизован брандмауэром маршрутизатора (если нет, возможно, у вас нет интернета в локальной сети).