тогда уже -

ded:

target prot opt source destination
ACCEPT all -- 10.236.64.234 anywhere <типа, ваш провайдер>
ACCEPT all -- 192.168.248.0/24 anywhere <типа, ваши сети>
DROP all -- anywhere anywhere

а то обновление будет до полной переписи сетей..

Не, не так.
Принцип
ACCEPT all -- 10.236.64.234 anywhere <типа, ваш провайдер>
ACCEPT all -- 192.168.248.0/24 anywhere <типа, ваши сети>
DROP all -- anywhere anywhere
это так называемый "Белый список"
а Китайский фильтр - "Чёрный список"

http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk

автоматом добавит и Китай и всех остальных.

Тестировал работает на все 100% .

Тоже многое время закидывал в Иптаблес подсети но все закончилось плачевно :) за выходные поломали и все тут. После установки fail2ban на ssh , FTP , WEB и Asterisk (SIP,IAX) нет проблем кроме "СПАМА" на почту с уведомлением об ИП кого забанила система.+ инфо из whois.ripe.net

[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"46"<sip:46@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"87"<sip:87@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"62"<sip:62@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"75"<sip:75@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"94"<sip:94@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"97"<sip:97@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"64"<sip:64@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"38"<sip:38@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"96"<sip:96@212.56.197.6>' failed for '173.244.160.35' - No matching peer found
[2010-06-12 19:15:16] NOTICE[12180] chan_sip.c: Registration from '"84"<sip:84@212.56.197.6>' failed for '173.244.160.35' - No matching peer found


вот пример как подбирают сип юзера
fail2ban забанил ип на 187 попытки ,все 187 попыток прошли за 3 секунды :) весь лог не выложил...

Не китай конечно
iptables -A INPUT -s 213.180.95.219 -j REJECT --reject-with icmp-port-unreachable

Но тупо досили.

Поставил сиё Fail2Ban, но шибко жутко работает, залочило пару моих железок.


2010-06-14 15:16:18,018 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2010-06-14 15:16:18,019 fail2ban.jail : INFO Creating new jail 'asterisk-iptables'
2010-06-14 15:16:18,020 fail2ban.jail : INFO Jail 'asterisk-iptables' uses poller
2010-06-14 15:16:18,056 fail2ban.filter : INFO Added logfile = /var/log/messages
2010-06-14 15:16:18,057 fail2ban.filter : INFO Set maxRetry = 5
2010-06-14 15:16:18,065 fail2ban.filter : INFO Set findtime = 600
2010-06-14 15:16:18,066 fail2ban.actions: INFO Set banTime = 259200
2010-06-14 15:16:18,101 fail2ban.jail : INFO Jail 'asterisk-iptables' started
2010-06-14 15:16:38,136 fail2ban.actions: WARNING [asterisk-iptables] Ban 10.61.191.191
2010-06-14 15:48:13,690 fail2ban.actions: WARNING [asterisk-iptables] Unban 10.61.191.191
2010-06-14 15:48:13,891 fail2ban.jail : INFO Jail 'asterisk-iptables' stopped
2010-06-14 15:48:13,892 fail2ban.server : INFO Exiting Fail2ban
2010-06-14 15:51:08,142 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2010-06-14 15:51:08,143 fail2ban.jail : INFO Creating new jail 'asterisk-iptables'
2010-06-14 15:51:08,143 fail2ban.jail : INFO Jail 'asterisk-iptables' uses poller
2010-06-14 15:51:08,168 fail2ban.filter : INFO Added logfile = /var/log/messages
2010-06-14 15:51:08,169 fail2ban.filter : INFO Set maxRetry = 5
2010-06-14 15:51:08,177 fail2ban.filter : INFO Set findtime = 600
2010-06-14 15:51:08,178 fail2ban.actions: INFO Set banTime = 259200
2010-06-14 15:51:08,213 fail2ban.jail : INFO Jail 'asterisk-iptables' started
2010-06-14 15:51:15,269 fail2ban.actions: WARNING [asterisk-iptables] Ban 10.61.191.191
2010-06-14 22:22:31,405 fail2ban.actions: WARNING [asterisk-iptables] Ban 91.185.19.63
2010-06-14 22:22:32,132 fail2ban.actions: WARNING [asterisk-iptables] 91.185.19.63 already banned
2010-06-14 22:30:25,097 fail2ban.actions: WARNING [asterisk-iptables] 10.61.191.191 already banned
2010-06-14 22:30:38,095 fail2ban.actions: WARNING [asterisk-iptables] Unban 10.61.191.191
2010-06-14 22:30:38,129 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-ASTERISK returned 100
2010-06-14 22:30:38,130 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2010-06-14 22:30:38,134 fail2ban.actions.action: ERROR iptables -D INPUT -p all -j fail2ban-ASTERISK
iptables -F fail2ban-ASTERISK
iptables -X fail2ban-ASTERISK returned 100
2010-06-14 22:30:38,146 fail2ban.actions.action: ERROR iptables -D fail2ban-ASTERISK -s 10.61.191.191 -j DROP returned 100
2010-06-14 22:30:38,146 fail2ban.actions: WARNING [asterisk-iptables] Unban 91.185.19.63
2010-06-14 22:30:38,152 fail2ban.actions.action: ERROR iptables -D fail2ban-ASTERISK -s 91.185.19.63 -j DROP returned 100
2010-06-14 22:30:38,172 fail2ban.jail : INFO Jail 'asterisk-iptables' stopped
2010-06-14 22:30:38,173 fail2ban.server : INFO Exiting Fail2ban


Как бы помягче сделать правила, что бы лочило ну после явных плохих дел?

Fail2Ban не идеальный инструмент. Китаёзы пробивают на анонимные звонки, без аутентификации, просто прощупывают по диал плану входящих. Такие звонки Fail2Ban отследить не может - нет логина/пароля.

А у кого-то такие астериски стоят наружу? Которые без аутентификации и "звони-куда-хочешь"?

Стоят. Звонят кудя хотят.

Правильней - откуда-хочешь.
Привмерно так устроена и вся традиционная телефония.