Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Фильтрация входящих на Catch All по IP

0

Как сделать сабж (Incoming Route any DID/any CID)? Фильтрации по CID недостаточно - злодеи подобрали 1 номер. В системе этот маршрут нужен только для одного IP - шлюза с нашей PSTN.

удалить закрыть спам изменить тег редактировать

спросил 2012-10-15 12:50:45 +0400

yks Gravatar yks
19 6 4

Comments

В продолжение темы 1. Непрерывно идут попытки подобрать номер, чтобы выйти на м/н звонки. При этом в контекст any DID/any CID они попадают с ext i. Сделал [macro-rhacker]

exten = s,1,Set(RecvIP=${SIPCHANINFO(recvip)})
exten = s,n,NoOp(0 ${ARG1} failed for ${RecvIP} - Hacker)   
...
exten = s,n,NoOp(5 ${ARG1} failed for ${RecvIP} - Hacker)   
exten = s,n,Answer(3000)
exten = s,n(playback),Playback(demo-congrats)       
exten = s,n,Goto(playback)              ; endless loop

Вызываю его

exten = i,1,Macro(rhacker, ${DID})

В /etc/fail2ban/filter.d/asterisk:

VERBOSE.*failed for \<HOST\> - Hacker*

После не более 2 попыток подбора номера:

Chain fail2ban-ASTERISK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    2  1569 DROP       all  --  *      *       176.58.73.71         0.0.0.0/0           
    5  3937 DROP       all  --  *      *       91.121.72.8          0.0.0.0/0           
    0     0 DROP       all
yks ( 2013-01-25 11:00:11 +0400 )редактировать

В продолжение темы 2. Выделил м/н направления в отдельные Outbound routes и запаролил их

yks ( 2013-01-25 11:08:19 +0400 )редактировать

1 Ответ

0

отключить guest звонки(в freepbx это делается в settings вроде).

настроить нормально входящий транк.

ссылка удалить спам редактировать

ответил 2012-10-15 14:09:53 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

Comments

Тогда не пройдут звонки с PSTN по VOIP

yks ( 2012-10-15 15:31:16 +0400 )редактировать

настроить надо. на адрес провайдера. как положено.

meral ( 2012-10-15 15:57:02 +0400 )редактировать

В Inbound routes нет ссылки на транк. Как я понял сейчас, надо из SIP заголовка выделить скриптом в extensions_custom.conf IP звонящего и пропускать в "Incoming Route any DID/any CID" только разрешенные. Нашел пример http://www.voip-info.org/wiki/view/Asterisk+func+sip_header . Попробую.

yks ( 2012-10-16 07:29:38 +0400 )редактировать

нет. надо в транках сделать транк на провайдера. читайте книги http://asterisk-support.ru/question/14859/knigi-po-asterisk/

meral ( 2012-10-16 10:25:22 +0400 )редактировать

Спасибо, т е, если для всех транков задать deny/permit, вызовы с левых IP заблокируются? Мне достаточно защитить от вызовов только any DID/any CID (там форвард на м/г VoIP для аналоговых телефонов) - получилось скриптом. А вот чтобы защититься от левой регистрации (fail2ban стоит) при краже логина, задал для всех экстенов, кому возможно, deny/permit. У всех "canreinvite=no". Пошли жалобы "мы не слышим", "нас не слышат" - со совершенно случайных адресов. Убираю deny/permit - все все слышат. Почему это?

yks ( 2012-10-18 12:18:03 +0400 )редактировать

если allowguest=no то будет только с описаных адресов. почему чтото у васпроисходит никто не скажет.смотриет дебаг. вообщето обычно директивой host= делается соответсвие. а не deny.

meral ( 2012-10-18 22:12:32 +0400 )редактировать

Убрал deny/permit, задал host= IP (вместо dynamic) - у абонента, кот, "нас не слышат". Он перестал дозваниваться (на исходящих занято), при входящих все нормально. Вернул dynamic - все ОК. При заданном host=IP сервер на запрос клиента

REGISTER sip:(IP сервера):5060 ; Via: SIP/2.0/UDP (IP клиента):5060

отвечает SIP/2.0 401 Unauthorized. Тайна сия велика еси.

yks ( 2012-10-19 15:20:06 +0400 )редактировать

ну да. вы не должны тогда регистрироваться. просто с той стороны прописан адрес и с этой. вся инфа есть.зачем регистрация то?

meral ( 2012-10-19 17:03:13 +0400 )редактировать

Это мой абонент, у него dlink dvg-2102s, он САМ! периодически посылает REGISTER , на что сервер при задании host= IP отвечает SIP/2.0 401 Unauthorized. При этом позвонить ему можно, от него - нельзя. При dynamic у них полная гармония. У нескольких аналогичных абонентов такой проблемы нет. В общем, когда снова взломают, вернусь к этому вопросу. спасибо

yks ( 2012-10-22 16:04:57 +0400 )редактировать

ну это дебаг. идите http://asterisk-support.ru/question/38386/kak-poniat-chto-proiskhodit-na-asteriske/ и пытайтесь понять тогда почему у вас в режиме permit не работает.

meral ( 2012-10-22 16:57:04 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2012-10-15 12:50:45 +0400

Просмотрен: 955 раз

Обновлен: Oct 15 '12

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.