Предистория:
Задолбали всякие малолетние уроды которые сканят IP адреса на предмет открытых udp портов: 5060, 5070, 5080, ... и звонят на прямую на домашние SIP IP телефоны со встроенными мини АТС, минуя шлюз вашего IP провайдера. У них как правило высвечиваются номера 1000, 5550000, admin, 1001, 100, administrator, и т.п. Звонят на IP телефон днем и ночью, ну просто не возможно.
Я обычный рядовой пользователь и устанавливать дома всякие сервера с крутыми фаерволами мне не по карману. Я пошел простой дорогой и обратился за помощью к linux на дешевом роутере.
1)Этот топик нашел через индексацию. Никто ранее тему не раскрыл, поэтому напишу сюда - САМОЕ БЮДЖЕТНОЕ РЕШЕНИЕ ПРОТИВ ТЕЛЕФОННЫХ ХУЛИАНОВ по IP телефонии.
2) Решение проблемы.
a)Покупаем самый дешевый роутер, за 1000 рублей, предположим DIR-300. Для некоторых других роутеров(Асусы, Длинки и т.п.), еще можно взять альтернативную прошивку роутера от "Олега".
B) Прошиваем его прошивкой от DD-WRT.
c) Домашний телефон на SIP телефонии вешаем на постоянный IP адрес(DHCP серевер роутера) в домашней сети 192.168.0.1/24. Предположим у ATC перед этим роутером будет IP - 192.168.0.11.
d) Прокидываем порт с внешнего WAN интерфейса (В DD-WRT - это "перенаправление групп портов")
Приложение -SIP
Начало - 5060
Конец - 5060
Протокол - UDP
IP-адрес - 192.168.0.11
Включить - Ставим галочку
и т.д. Если нужно прокинуть несколько телефонных номеров на АТС.
e) Включаем SSH в веб настройках роутера.
f) Через putty идем на роутер по SSH. Там прописываем ряд правил для встроенного фаервола в linux под названием iptables
iptables -I FORWARD -d 192.168.0.11 -p udp --dport 5060 -j DROP
iptables -I FORWARD -d 192.168.0.11 -p udp -s 176.9.85.133 --dport 5060 -j ACCEPT
iptables -I FORWARD -d 192.168.0.11 -p udp -s 176.9.145.115 --dport 5060 -j ACCEP
192.168.0.11 - IP АТС в домашней сети
176.9.85.133 и 176.9.145.115 - IP адреса шлюзов моего провайдера по ip телефонии в моем случае - это gate01.zadarma.com и gate02.zadarma.com (Их вы моете спросить у Вашего провайдера по IP – телефонии, если сами не можете вычеслить.)
g) Проверяем внешним чекером портов по udp, через nmap утилиту заточенную в веб интерфейсе по адресу:
http://nmap.online-domain-tools.com/
Командой
-p 5060 -sU 92.62.52.90
92.62.52.90 - это ваш внешний IP адрес.
Порт не отвечает и пишет Close, ну и это правильно, так как доступ на данный udp порт разрешен только ИП адресам вашей IP телефонии.
Вот и все, бюджетное решение, против малолетних уродов, которые себя считают кулцхакерами, сканят порты и звонят куда попало.
Приятного Вам пользования Вашей SIP IP-телефонии на домашних аппаратах. ;-)
И что только не делают, лишь бы fail2ban не настраивать
awsswa ( 2012-12-23 07:40:55 +0400 )редактироватьfail2ban не будет работать, так как звонок на IP телефон проходит без авторизации. Фаервол и ограничение доступа с адресов - единственно верное решение ИМХО.
switch ( 2012-12-23 08:28:52 +0400 )редактироватьНо зачем покупать DIR300, перепрошивать его и потом возиться с IPtables, когда можно купить RB951 за 1500р и получить полнофункциональный девайс.
switch ( 2012-12-23 08:30:33 +0400 )редактироватьfirewall - да, а ограничение бесполезно если у вас динамические клиенты. Просто банить всех по странам, Куба, Вьетнам, и т.д бесполезно - и Германии и Болгарии тоже сканят. Прокатывает все когда 1 сервер, а когда их десятки под управление - только через firewall через хитрые блокировки по попыткам регистрации в минуту, по именам сканеров и т.д.
awsswa ( 2012-12-23 14:57:23 +0400 )редактироватьawsswa, у топикстартера один-единственный телефон, о каких серверах речь, мазафака?
switch ( 2012-12-23 16:13:38 +0400 )редактироватьНеважно сколько у него серверов и телефонов, решение которое он публикует как библию - частичное. И работает только тогда, когда нет динамических клиентов. Первый такой клиент и решение сдохло.
awsswa ( 2012-12-23 19:05:38 +0400 )редактироватьПеречитайте вопрос еще раз: НЕТ У НЕГО НИКАКИХ СЕРВЕРОВ. Нет и никаких клиентов. Только телефон, один-единственный.
switch ( 2012-12-23 23:45:10 +0400 )редактироватьМне б таких "обычных рядовых" пользователей.. да побольше..
viktorkho ( 2012-12-24 07:07:56 +0400 )редактироватьTLS дайте возможность включать клиентам самостоятельно, в личном кабинеты и забудете про взломы и подбор паролей
awsswa ( 2012-12-24 07:13:05 +0400 )редактировать