Предупреждения в логе: WARNING Timeout on ...non-critical in

[Pegas12345]

Привет всем.

Помогите остановить бесконечный поток

"[Jul 30 20:00:01] WARNING[3103]: chan_sip.c:4118 retrans_pkt: Timeout on ac3d236df696cae9a943940ce316861f on non-critical invite transaction."

Откуда он берётся? Что в настройках sip.conf отвечает за это? В инете прочитал, что так бывает из-за insecure=invite, у себя в сип все инвайты убрал, а строки идут и идут.

[awsswa]

Стандартно
Ломают вас.
Fail2ban в помощь

[Pegas12345]

Fail2ban стоит, но почему-то не банит. Банит только тогда, когда подбирают пароли. А эти запросы пытаются сделать, не пойму как, но через инвайты. Снова включил натсройку insecure=invite после этого даже звонки пытаются сделать. Но как??? Звонят с моего SIP номера, и контекста, который не дефолтный. Гостям в сип конфе закрыт доступ. Что за дела?

[ded]

Fail2ban стоит, но почему-то не банит.

ИП адрес есть, но почему-то не пингуется. Лампочка вроде хорошая, но почему-то не горит. Что за дела?

Банит только тогда, когда подбирают

В курсе, что можно создавать новые правила в fail2ban?
Чтобы увидеть причину, нужно включить sip debug.
Надеюсь разберётесь?

[shader]

Fail2ban стоит, но почему-то не банит. Банит только тогда, когда подбирают пароли. А эти запросы пытаются сделать, не пойму как, но через инвайты. Снова включил натсройку insecure=invite после этого даже звонки пытаются сделать. Но как??? Звонят с моего SIP номера, и контекста, который не дефолтный. Гостям в сип конфе закрыт доступ. Что за дела?

Правила в fail2ban плохие. По умолчанию половина не работает. Нужно переписывать регулярки.

[NickCool]

По своему свежему опыту уже несколько раз с таким сталкивался и каждый раз руки не доходили до конца.

Что мне помогло.
1. В консоли астериск (rasterisk из CLI) собрал небольшой дебаг sip (лучше всего всех реальных клиентов отключить):

Код: Выделить всё

sip set debug on

и забрал в блокнот (там можно будет посмотреть и User-Agent [будет нужно для блокировки] и IP вопрошающего)
Самое главное: выключите дебаг обратно:

Код: Выделить всё

sip set debug off

Далее, для сверки, проверил IP, с которых шли запросы с помощью (IP своих клиентов-то мы знаем):

Код: Выделить всё

sip show channels

IP оказался всего 1, потому в свой firewall (в моём случае ufw - файл /etc/ufw/before.rules) добавил:

Код: Выделить всё

-A ufw-before-input -s 1.2.3.4 -j DROP

, где 1.2.3.4 - IP атакующего и перезагрузил:

Код: Выделить всё

ufw reload

Через 10 минут убрал правило - скан не возобновился.

Для постоянной защиты можно поставить отсекание пакетов наиболее популярных сканеров по User-Agent:
http://kipalex.ru/?p=1846 (обратите внимание на первый комментарий - там о том, что "--" заменились на тире и по поводу кавычек).

P.S.: надеюсь, что старожилы поправят, если где-то не прав и дал вредные советы.