Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Смена портов 5060 в Asterisk [закрыт]

0

Всем привет! Оговорюсь сразу я не программист и не системный администратор, поэтому по возможности прошу разжевать инфу если не трудно. Пожалуйста научите как правильно сменить порт 5060 в Asterisk 11(Free PBX). Третий день ломятся плохие люди в сервер и активно пытаются перебрать и логин и пароль... fail2ban их не банит т.к. они пользуются подменой ip на наш внешний (статический) ip...

[2013-10-26 17:19:36] NOTICE[2079][C-00000523] chan_sip.c: Failed to authenticate device 1919<sip:1919@84.23.xxxxxx>;tag=44e6b37c
[2013-10-26 17:20:38] NOTICE[2079][C-00000524] chan_sip.c: Failed to authenticate device 1919<sip:1919@84.23.xxxxxx>;tag=c82866d9
[2013-10-26 17:21:42] NOTICE[2079][C-00000525] chan_sip.c: Failed to authenticate device 1919<sip:1919@84.23.xxxxxx>;tag=263030c4
[2013-10-26 17:22:34] NOTICE[2079][C-00000526] chan_sip.c: Failed to authenticate device 7003<sip:7003@84.23.xxxxxx>;tag=0aaecffe
[2013-10-26 17:22:36] NOTICE[2079][C-00000527] chan_sip.c: Failed to authenticate device 7003<sip:7003@84.23.xxxxxx>;tag=57dffe7d
[2013-10-26 17:22:46] NOTICE[2079][C-00000528] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.xxxxxx>;tag=07f73ef6
[2013-10-26 17:23:46] NOTICE[2079][C-00000529] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.xxxxxx>;tag=354f9b22
[2013-10-26 17:24:48] NOTICE[2079][C-0000052a] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.33.100>;tag=9575f5ff
[2013-10-26 17:25:51] NOTICE[2079][C-0000052b] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.33.100>;tag=aa0b7b10
[2013-10-26 17:26:52] NOTICE[2079][C-0000052c] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxx>;tag=1af3e381
[2013-10-26 17:27:55] NOTICE[2079][C-0000052d] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxxx>;tag=2486edbf
[2013-10-26 17:28:54] NOTICE[2079][C-0000052e] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxxx>;tag=4776a795
[2013-10-26 17:29:55] NOTICE[2079][C-0000052f] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxxx>;tag=bda452a7
[2013-10-26 17:30:55] NOTICE[2079][C-00000530] chan_sip.c: Failed to authenticate device 133<sip:133@84.23.xxxxxx>;tag=12d29ba9

Теперь подробности:

  1. Сервер за nat
  2. Порт 5060 проброшен для связи с провайдером и для удаленных офисов.
  3. allowguest=no alwaysauthreject=yes

Ломятся именно по 5060 и перебирают в диапазоне 5061-5070...пробовал менять 5060 на другие через команду bindport=xxx плохие парни пропадали! Но проблема в том, что некоторые транки начинают отваливаться из-за смены 5060 и закрытия его в nat, сменить на стороне провайдера невозможно... Подскажите какие есть варианты решения данного вопроса? Как правильно поменять порт, что бы и транки остались рабочими и плохие парни испарились со своей навязчивой идеей :)

удалить переоткрыть спам изменить тег редактировать

спросил 2013-10-26 18:18:56 +0400

liss1975 Gravatar liss1975
1 2 1 2

обновил 2013-10-26 21:37:47 +0400

zzuz Gravatar zzuz flag of Russian Federation
7174 2 6 75
http://line24.ru/

Comments

Спасибо mins ago за оперативность! Я читал много статей на эту тему но в том то и дело, что для каждой версии свои настройки и мне как не программисту тяжело понять какие правильные а какие кривые... Побывал привлечь специалистов...но как оказалось их ооочень мало...

liss1975 ( 2013-10-26 18:39:00 +0400 )редактировать

Я не "mins ago" и не "hours ago" :)

Out ( 2013-10-26 21:17:16 +0400 )редактировать

Да уж. Такого еще не было. Позабавил)

zzuz ( 2013-10-26 21:35:57 +0400 )редактировать

Out приношу извинения, не туда посмотрел в спешке Вас отблагодарить за оперативный ответ. Если я вас позабавил, значит с юмором здесь гуд :) То что каждому свое это точно, но у нас как в американском анекдоте про русских: спрашивают у америкоса "..а вы умеете играть на скрипке?" Ответ: "Ооо нет я в этом вопросе не компетентен...!" Спрашивают у Русского: "..а вы умеете играть на скрипке?" Ответ" "...нет, но попробовать можно..." В конце концов нужно учиться а не искать при каждом мелочном вопросе профи и отрывать от важных дел. Я когда загорелся идеей заиметь свою АТС вообще не знал с чего начинать! Спасибо форумам и умным людям которые не поленились нашли время, написали и даже создали целые инструкции... и вообще у меня как у директора компании отработанная привычка "хочу все знать" и не в жадности дело, а как показывает опыт привлечения посторонних людей к работе часто выходит боком из-за их желания оттяпать побольше и поменьше сделать и оставить задел на будущее....

liss1975 ( 2013-10-27 11:56:42 +0400 )редактировать

Для тех , кто хочет всё знать пишут книги и устраивают платные курсы. Клонирование однотипных вопросов в дальнейшем усложняет поиск для тех, кто действительно готов сам искать и обучаться.

zzuz ( 2013-10-27 13:05:27 +0400 )редактировать

Уважаемый zzuz что бы такие как я не отнимали драгоценное время у "больших умов" проще скинуть ссылку, что займет меньше времени чем писать "...кто хочет всё знать пишут книги и устраивают платные курсы..." Уж поверьте я тоже не пальцем делан и есть вещи в которых я знаю гораздо больше чем Вы и если бы Вы спросили помощи у меня я бы с большим удовольствием ответил...Спасибо!

liss1975 ( 2013-10-27 21:29:34 +0400 )редактировать

Здесь нет больших умов, здесь только те , кто говорят гуглу "asterisk port iptables",например для начала. Действительно бывают вопросы , которые найти в сети трудно либо из-за их редкости и сложности , либо оригинальности. Ваш вопрос обсуждался сто раз, просто очередной раз лень взяла вверх и задан вопрос-клон.

zzuz ( 2013-10-28 02:21:56 +0400 )редактировать

Спасибо всем, вопрос решен с помощью специалистов Voxlink

liss1975 ( 2013-10-29 00:05:43 +0400 )редактировать

3 Ответа

0

меня бесят такие умные ответы,реально из-за таких придурков усложняется поиск по гуглу

ссылка удалить спам редактировать

ответил 2014-03-07 18:42:38 +0400

zxcxv Gravatar zxcxv
1

Comments

Бесят только слоупоки , которые пишут в устаревших темах и не умеют правильно конструировать поисковый запрос.

zzuz ( 2014-03-07 23:06:50 +0400 )редактировать

Да еще и пишут комментарий в ответах.

zzuz ( 2014-03-07 23:07:14 +0400 )редактировать
0

Лучше займитесь работой fail2ban, ищите где подставляют адрес 127.0.0.1, там же будет и описание способа.

Есть описание в инете, в котором указывается, как определить и скормить fail2ban'у реальный IP, с которого атакуют.

Для каждой версии астериска, свои настройки fail2ban'а.

ссылка удалить спам редактировать

ответил 2013-10-26 18:31:43 +0400

Out Gravatar Out
882 5 3 20

обновил 2013-10-26 18:37:35 +0400

0

вот если вы не умеете себя стричь, вы идете к парихмахеру.

надо поймать воров - пишите заявление в милицию.

не умеете/не желаете выращивать кортошку - покупаете ее в магазине.

внимание вопрос: почему вы считаете что вы сможете настроить астериск и ничего не упустить?

а по теме - настраивайте fail2ban через iptables(гуглите по fail2ban iptables). но это вообще не гарантирует, что вас не взломают както иначе.

удачи,че.

ссылка удалить спам редактировать

ответил 2013-10-26 22:06:32 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-10-26 18:18:56 +0400

Просмотрен: 7,202 раз

Обновлен: Mar 07 '14

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.