Страница 3 из 4
Re: non-critical invite transaction
Добавлено: 07 дек 2016, 13:02
skynetyar
Хорошо,только не бейте все сразу и по лицу ...
Будьте добры все таки хоть намекнуть что ле..
Создал такое правило fail2ban
Код: Выделить всё
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=мыл@email]
logpath = /var/log/fail2ban.log
maxretry = 5
Собственно банит все неудачные попытки авторизации после 5 попыток по протоколу SIP, IAX2, AMI.
Но хочется избавится от инвайтов типа
Код: Выделить всё
WARNING[2954]: chan_sip.c:4120 retrans_pkt: Timeout on cbd55ba4d2017e9da0c718a7ed8daf28 on non-critical invite transaction.
И затем
Код: Выделить всё
Peer User/ANR Call ID Format Hold Last Message Expiry Peer
37.8.94.177 203 cbd55ba4d2017e9 (nothing) No Rx: INVITE <guest>
Подскажите хоть как такие обрабатывать,нигде не могу найти,киньте ссылкой в меня,не надо ногами сразу бить
Re: non-critical invite transaction
Добавлено: 07 дек 2016, 13:27
ded
Все попытки - регистрации, инвайтов, notify, etc - пишутся в журнал и читаются из него же fail2ban.
Значит посмотреть строки, создать ЛЮБОЕ нужное правило, используя регулярные выражения (Regexp) и применить его.
У нас fail2ban защищает от подбора паролей почты, от ненужных попыток кого угодно куда угодно. Ссылки об этом есть в разных местах, осталось только найти.
Re: non-critical invite transaction
Добавлено: 07 дек 2016, 13:57
skynetyar
Понял,спасибо за наводку!
etc/fail2ban/filter.d/asterisk.conf
Код: Выделить всё
failregex = WARNING.* Ext. s: .* on non-critical invite transaction .*
Поправьте пожалуйста если не так.
Re: non-critical invite transaction
Добавлено: 07 дек 2016, 14:06
Zavr2008
FreePBX на белом IP?
Срочно закрывайте WEB интерфейс и прочее. 90% взломов сейчас именно через гуй и AMI..
Re: non-critical invite transaction
Добавлено: 07 дек 2016, 14:11
skynetyar
На белом,web закрыт,все так то срабатывает норм,только инвайты достали,хочу их тоже в кучу мусорную скидывать со 2-й попытки,с правилами только парюсь что то
Re: non-critical invite transaction
Добавлено: 07 дек 2016, 14:27
ded
Освоите Regexp - звёздочку на фюзеляже рисуйте.
Re: non-critical invite transaction
Добавлено: 08 дек 2016, 10:35
skynetyar
Спасибо за совет, подскажите вы имеете ввиду Regex - регулярные выражения или Regexp - это что то на java насколько я нагуглил, но практического применения что то не нашел....
Опять же в строке
WARNING[2954]: chan_sip.c:4120 retrans_pkt: Timeout on cbd55ba4d2017e9da0c718a7ed8daf28 on non-critical invite transaction.
Не логируется HOST и применить fail2ban вроде как обычным правилом не возможно?
Поправьте если не прав..
Re: non-critical invite transaction
Добавлено: 10 дек 2016, 01:06
get_on_top
Вообщем ситуация в следующем - инвайты вы закрыть не можете - правильные звонки не пройдут. В данном случае вы можете только прописать либо конкретные адреса в фаерволе, либо указать insecure=port и type=peer в настройке каждого пира. Данные ошибки логируются как нормальные - fail2ban на них не настроен
Re: non-critical invite transaction
Добавлено: 11 дек 2016, 00:14
get_on_top
iptables -A INPUT -p udp -m udp --dport 5060 -m string --string "sipcli" --algo bm --to 65535 -j DROP как правило поможет. обычно sipcli инвайтами сыплет
Re: non-critical invite transaction
Добавлено: 12 дек 2016, 12:26
skynetyar
Спасибо,но это не помогает...
sip show channels
Peer User/ANR Call ID Format Hold Last Message Expiry Peer
192.168.0.130 (None) 001647cd-98d800 (nothing) No Rx: REGISTER <guest>
1 active SIP dialog
Даже уже под диапазоном 192. умудряются инвайтится,который собственно не забаниш...
Тут остается жестко прописать ALC ийпишники но и это не спасение по идее....
Тут наверное что то типа скрипта надо на кроне, что бы он делал команду sip show channels выявлял IP у GUEST и писал его в лог, затем свое дело делал бы Fail2ban.
Но такой скрипт мне не под силу..