non-critical invite transaction

[skynetyar]

Хорошо,только не бейте все сразу и по лицу ...

Будьте добры все таки хоть намекнуть что ле..
Создал такое правило fail2ban

Код: Выделить всё

[asterisk-iptables]
enabled = true
filter  = asterisk
action  = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=мыл@email]
logpath = /var/log/fail2ban.log
maxretry = 5

Собственно банит все неудачные попытки авторизации после 5 попыток по протоколу SIP, IAX2, AMI.
Но хочется избавится от инвайтов типа

Код: Выделить всё

WARNING[2954]: chan_sip.c:4120 retrans_pkt: Timeout on cbd55ba4d2017e9da0c718a7ed8daf28 on non-critical invite transaction.

И затем

Код: Выделить всё

Peer             User/ANR         Call ID          Format           Hold     Last Message    Expiry     Peer
37.8.94.177      203              cbd55ba4d2017e9  (nothing)        No       Rx: INVITE                 <guest>

Подскажите хоть как такие обрабатывать,нигде не могу найти,киньте ссылкой в меня,не надо ногами сразу бить

[ded]

Все попытки - регистрации, инвайтов, notify, etc - пишутся в журнал и читаются из него же fail2ban.
Значит посмотреть строки, создать ЛЮБОЕ нужное правило, используя регулярные выражения (Regexp) и применить его.
У нас fail2ban защищает от подбора паролей почты, от ненужных попыток кого угодно куда угодно. Ссылки об этом есть в разных местах, осталось только найти.

[skynetyar]

Понял,спасибо за наводку!
etc/fail2ban/filter.d/asterisk.conf

Код: Выделить всё

failregex = WARNING.* Ext. s: .* on non-critical invite transaction .*

Поправьте пожалуйста если не так.

[Zavr2008]

FreePBX на белом IP?

Срочно закрывайте WEB интерфейс и прочее. 90% взломов сейчас именно через гуй и AMI..

[skynetyar]

На белом,web закрыт,все так то срабатывает норм,только инвайты достали,хочу их тоже в кучу мусорную скидывать со 2-й попытки,с правилами только парюсь что то

[ded]

Освоите Regexp - звёздочку на фюзеляже рисуйте.

[skynetyar]

Спасибо за совет, подскажите вы имеете ввиду Regex - регулярные выражения или Regexp - это что то на java насколько я нагуглил, но практического применения что то не нашел....
Опять же в строке
WARNING[2954]: chan_sip.c:4120 retrans_pkt: Timeout on cbd55ba4d2017e9da0c718a7ed8daf28 on non-critical invite transaction.
Не логируется HOST и применить fail2ban вроде как обычным правилом не возможно?
Поправьте если не прав..

[get_on_top]

Вообщем ситуация в следующем - инвайты вы закрыть не можете - правильные звонки не пройдут. В данном случае вы можете только прописать либо конкретные адреса в фаерволе, либо указать insecure=port и type=peer в настройке каждого пира. Данные ошибки логируются как нормальные - fail2ban на них не настроен

[get_on_top]

iptables -A INPUT -p udp -m udp --dport 5060 -m string --string "sipcli" --algo bm --to 65535 -j DROP как правило поможет. обычно sipcli инвайтами сыплет

[skynetyar]

Спасибо,но это не помогает...
sip show channels
Peer User/ANR Call ID Format Hold Last Message Expiry Peer
192.168.0.130 (None) 001647cd-98d800 (nothing) No Rx: REGISTER <guest>
1 active SIP dialog

Даже уже под диапазоном 192. умудряются инвайтится,который собственно не забаниш...
Тут остается жестко прописать ALC ийпишники но и это не спасение по идее....

Тут наверное что то типа скрипта надо на кроне, что бы он делал команду sip show channels выявлял IP у GUEST и писал его в лог, затем свое дело делал бы Fail2ban.
Но такой скрипт мне не под силу..