Надо же в доках есть инфа, фух главное есть доки на сайтико

maxretry 3 - Количество матчей (то есть значение счетчика), который вызывает запрет действий по IP.
findtime 600 - сек счетчик устанавливается в ноль, если соответствие не найдено в рамках "findtime" секунд.
bantime 600 - сек Продолжительность (в секундах) на сколько будет забанен IP.

Китайцы уже в Москве!
109.170.0.10

Fail2Ban действительно не спасет от "allowguest=yes" и использование контекста "default" но в последнее время вижу реальный подбор юзеров и паролей

[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"100"<sip:100@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"101"<sip:101@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"102"<sip:102@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"103"<sip:103@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"104"<sip:104@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"105"<sip:105@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"106"<sip:106@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"107"<sip:107@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"108"<sip:108@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found
[2010-06-22 06:39:53] NOTICE[12180] chan_sip.c: Registration from '"109"<sip:109@XX.XX.XX.XX>' failed for '61.164.41.144' - No matching peer found

аз 1 секунду пробил примерно 50 пользователей .

Fail2Ban это бесспорно -гуд.
Чтоб защититься от брутфорса, мы добаляем в бан айпи с которых нас (тут даже идеому подобрать сложно) пытаются "просканировать". мы автоматизировали процесс, всякие злобные пидорасовцы прямой дорогой топают в бан. вопрос - у кого какой выставлен таймаут, на этих самых нехороших людей, нетрадиционной сексуальной ориентации? (комменты приветствуются).
допустим месяц, хотя я бы банил на год, а то и в блэклист их, чтоб никуда родимые не делись.
итого , за этот месяц, я получил 8 айпишников с которых сканировали мои пиры. 96 правил в блэклисте за год. это немного..., продолжим несколько позже, пока хочется разобрать ситуацию взлома.
в логах следующее....
начинають сканить с 100.
далее до from '"940"<sip:940 все спокойно, ...сканит железка... , а дальше...
from '"hello"<sip:hello@
from '"ranger"<sip:ranger@
from '"941"<sip:941@
from '"shadow"<sip:shadow@
from '"944"<sip:944@
from '"harley"<sip:harley@
from '"hockey"<sip:hockey@
from '"letmein"<sip:letmein@
from '"maggie"<sip:maggie@
from '"945"<sip:945@
from '"mike"<sip:mike@
from '"946"<sip:946@
from '"mustang"<sip:mustang@
from '"snoopy"<sip:snoopy@
from '"buster"<sip:buster@
from '"947"<sip:947@
from '"dragon"<sip:dragon@
дальше в таком же духе до from '"4260"<sip:4260 , причем с 4259 до 4260 идет подстановка порядка четырехсот аккаунтов.
остановка на
from '"9999"<sip:9999@
и далее перебор паролей....
итого, на данный момент у меня сканят пиры с 100 по 9999. видимо больше четырех-знака непопулярны, или пока не восприняты пидорасовцами.
далее мысли вслух...
как скоро в их "светлые" головы придет мыслишка о объединении накопленной информации? как скоро они смогут реализовать задуманное?
вопросов куча. тут необходима помощь сообщества. может просто очередной приступ паранои... он пройдет и можно будет спокойно расслабляться за пивасом... :)
но пока... терзают меня смутные сомнения(с)
если тенденция заражения, беря в расчет обычную сетевую заразу, будет двоекратно увеличиваться по восходящей, к концу года я получаю болокирование пидорасовцев по 16348 правилам, что не есть гуд. пусть не так сильно, но нагрузка на обработку правил, в теории, через пару-тройку лет, может быть сопаставима с нагрузкой на другие сервисы, что в свою очередь повлечет модернизацию систем....
а дальше мысль растекается по древу... :)

Но в наши то светлые головы уже пришла мыслишка о объединении накопленной информации! Надо же пополнять Китайский список! И включать туда не по одному адресу (чтобы не получить 16348 правил) а блоками сетей, зареганых в APNIC, RIPE, etc - это гораздо меньше правил.
Ну, или Белый список.

Товарищи, дайте ссыль где почитать про настройку fail2ban касательно iax и sip.

И еще: может стоит прям на роутере ограничивать количество запросов с одного адреса в секунду по udp:5060? Хз как в iptables, но в микротике такая возможность вроде как есть.

Вот тут все по настройке , далее можно фильтры руками дополнить
http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk

По поводу времени бля бана злобных ип , могу сказать что их хватит забанить на сутки или меньше .... как только сканер упирается в Firewall он сразу ваш ИП сбросит из списка, и вас он больше не потревожит.

Не скажите. У меня с подсети 200.78.128.0/17 каждый день пытаются пробиться

Вообще, по идее, можно весь Китай забанить. Вот здесь лежит список всех подсетей по странам мира. Написать парсер можно за полчаса.

еще раз спрошу, а почему бы не оставить лишь белый список адресов. Ведь пополнение базы - это нескончаемый процесс..

встречал рекомендацию, касаемую взлома по ssh - включать его по мере необходимости через веб. Точно также можно и добавлять адрес в белый список.
Автоматом веб-страницу не сломаешь (при грамотном построении), а ручками вряд ли полезут искать дыры..