Если одновременных вызовов не более 8, можно посмотреть на 3cx - собственное мобильное приложение, отличная интеграция со станцией, чаты, групповые чаты, видеовызовы, BLF.  Настройка приложения на аккаунт за секунду, сканированием QR-кода. Есть шифрование.

wireguard - настраивается с пол-пинка на сервере и легким движением руки на мобилке (установить приложение и отсканировать qrкод)

но voip на мобилке на "чистом" sip, без пушей, гарантированный геморрой с входящими

Привяжите доменное имя, и сделайте фильтр в IPTABLES
команды не могу сейчас найти, есть xml формат для firewalld

cat direct.xml
<?xml version="1.0" encoding="utf-8"?>
<direct>
  <chain table="filter" ipv="ipv4" chain="CHECKDOMAIN"/>
  <rule priority="1" table="filter" ipv="ipv4" chain="CHECKDOMAIN">-m udp -p udp --dport 32544 -m string --algo bm --string sip.mydomain.ru -j RETURN</rule>
  <rule priority="2" table="filter" ipv="ipv4" chain="CHECKDOMAIN">-m udp -p udp --dport 32544 -j DROP</rule>
  <rule priority="1" table="filter" ipv="ipv4" chain="INPUT_direct">-m udp -p udp --dport 32544 -m string --algo bm --string 'INVITE sip:' -j CHECKDOMAIN</rule>
  <rule priority="2" table="filter" ipv="ipv4" chain="INPUT_direct">-m udp -p udp --dport 32544 -m string --algo bm --string 'REGISTER sip:' -j CHECKDOMAIN</rule>
</direct>

Не совсем понял про доменное имя. На чем его настроить?

Берёте свой IP сервера 66.66.66.66 , покупаете имя любое интеренсо sip.mynamecompany.ru
Привязываете в DNS одминке
Все софтофоны подключаете по доменному имени

Ни кто его не знает, кулхацкеры сосут

Интересный вариант

это вы от угона учётки с самого  софтфона защититься хотите?

Если поднимут на 5060 порте, то недолго)

в моём примере, порт не сильно похож на 5060 ))), да конечно лучше сменить, меньше интереса, меньше шансов, что огрехи найдут.

Ну сканят то ip по 5060 в основном) поэтому главное с порта начать

crontab -l
0 4 * * * /usr/local/bin/voipbl.sh

Будет  закрывать точно плохих парней, по крайней мере известных многом

понятно что 5060 не светить наружу явно ))))

Это специально такой изврат по /32  собирать?
Я уже давненько минимум по /24 укатываю...

Этот список надо по идее сжать по подсетям...

Как сервис даёт, так и беру, конечно можено перепидалить и проверку на вхождение делать...

Зато из коропки

И нафига их в цепочку INPUT  пихать,  они же в conntrack  влетать успевают..
У себя в таблицу raw  на PREROUTING  их складываю...

https://www.projectcalico.org/wp-content/uploads/2019/04/Picture1-1.png

Из-за этого?