Бесят только слоупоки , которые пишут в устаревших темах и не умеют правильно конструировать поисковый запрос.
zzuz ( 2014-03-07 23:06:50 +0400 )редактироватьВсем привет! Оговорюсь сразу я не программист и не системный администратор, поэтому по возможности прошу разжевать инфу если не трудно. Пожалуйста научите как правильно сменить порт 5060 в Asterisk 11(Free PBX). Третий день ломятся плохие люди в сервер и активно пытаются перебрать и логин и пароль... fail2ban их не банит т.к. они пользуются подменой ip на наш внешний (статический) ip...
[2013-10-26 17:19:36] NOTICE[2079][C-00000523] chan_sip.c: Failed to authenticate device 1919<sip:1919@84.23.xxxxxx>;tag=44e6b37c
[2013-10-26 17:20:38] NOTICE[2079][C-00000524] chan_sip.c: Failed to authenticate device 1919<sip:1919@84.23.xxxxxx>;tag=c82866d9
[2013-10-26 17:21:42] NOTICE[2079][C-00000525] chan_sip.c: Failed to authenticate device 1919<sip:1919@84.23.xxxxxx>;tag=263030c4
[2013-10-26 17:22:34] NOTICE[2079][C-00000526] chan_sip.c: Failed to authenticate device 7003<sip:7003@84.23.xxxxxx>;tag=0aaecffe
[2013-10-26 17:22:36] NOTICE[2079][C-00000527] chan_sip.c: Failed to authenticate device 7003<sip:7003@84.23.xxxxxx>;tag=57dffe7d
[2013-10-26 17:22:46] NOTICE[2079][C-00000528] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.xxxxxx>;tag=07f73ef6
[2013-10-26 17:23:46] NOTICE[2079][C-00000529] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.xxxxxx>;tag=354f9b22
[2013-10-26 17:24:48] NOTICE[2079][C-0000052a] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.33.100>;tag=9575f5ff
[2013-10-26 17:25:51] NOTICE[2079][C-0000052b] chan_sip.c: Failed to authenticate device 122<sip:122@84.23.33.100>;tag=aa0b7b10
[2013-10-26 17:26:52] NOTICE[2079][C-0000052c] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxx>;tag=1af3e381
[2013-10-26 17:27:55] NOTICE[2079][C-0000052d] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxxx>;tag=2486edbf
[2013-10-26 17:28:54] NOTICE[2079][C-0000052e] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxxx>;tag=4776a795
[2013-10-26 17:29:55] NOTICE[2079][C-0000052f] chan_sip.c: Failed to authenticate device 1221<sip:1221@84.23.xxxxxx>;tag=bda452a7
[2013-10-26 17:30:55] NOTICE[2079][C-00000530] chan_sip.c: Failed to authenticate device 133<sip:133@84.23.xxxxxx>;tag=12d29ba9
Теперь подробности:
allowguest=no alwaysauthreject=yes
Ломятся именно по 5060 и перебирают в диапазоне 5061-5070...пробовал менять 5060 на другие через команду bindport=xxx плохие парни пропадали! Но проблема в том, что некоторые транки начинают отваливаться из-за смены 5060 и закрытия его в nat, сменить на стороне провайдера невозможно... Подскажите какие есть варианты решения данного вопроса? Как правильно поменять порт, что бы и транки остались рабочими и плохие парни испарились со своей навязчивой идеей :)
меня бесят такие умные ответы,реально из-за таких придурков усложняется поиск по гуглу
Бесят только слоупоки , которые пишут в устаревших темах и не умеют правильно конструировать поисковый запрос.
zzuz ( 2014-03-07 23:06:50 +0400 )редактироватьЛучше займитесь работой fail2ban, ищите где подставляют адрес 127.0.0.1, там же будет и описание способа.
Есть описание в инете, в котором указывается, как определить и скормить fail2ban'у реальный IP, с которого атакуют.
Для каждой версии астериска, свои настройки fail2ban'а.
вот если вы не умеете себя стричь, вы идете к парихмахеру.
надо поймать воров - пишите заявление в милицию.
не умеете/не желаете выращивать кортошку - покупаете ее в магазине.
внимание вопрос: почему вы считаете что вы сможете настроить астериск и ничего не упустить?
а по теме - настраивайте fail2ban через iptables(гуглите по fail2ban iptables). но это вообще не гарантирует, что вас не взломают както иначе.
удачи,че.
Задан: 2013-10-26 18:18:56 +0400
Просмотрен: 7,208 раз
Обновлен: Mar 07 '14
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
Спасибо mins ago за оперативность! Я читал много статей на эту тему но в том то и дело, что для каждой версии свои настройки и мне как не программисту тяжело понять какие правильные а какие кривые... Побывал привлечь специалистов...но как оказалось их ооочень мало...
liss1975 ( 2013-10-26 18:39:00 +0400 )редактироватьЯ не "mins ago" и не "hours ago" :)
Out ( 2013-10-26 21:17:16 +0400 )редактироватьДа уж. Такого еще не было. Позабавил)
zzuz ( 2013-10-26 21:35:57 +0400 )редактироватьOut приношу извинения, не туда посмотрел в спешке Вас отблагодарить за оперативный ответ. Если я вас позабавил, значит с юмором здесь гуд :) То что каждому свое это точно, но у нас как в американском анекдоте про русских: спрашивают у америкоса "..а вы умеете играть на скрипке?" Ответ: "Ооо нет я в этом вопросе не компетентен...!" Спрашивают у Русского: "..а вы умеете играть на скрипке?" Ответ" "...нет, но попробовать можно..." В конце концов нужно учиться а не искать при каждом мелочном вопросе профи и отрывать от важных дел. Я когда загорелся идеей заиметь свою АТС вообще не знал с чего начинать! Спасибо форумам и умным людям которые не поленились нашли время, написали и даже создали целые инструкции... и вообще у меня как у директора компании отработанная привычка "хочу все знать" и не в жадности дело, а как показывает опыт привлечения посторонних людей к работе часто выходит боком из-за их желания оттяпать побольше и поменьше сделать и оставить задел на будущее....
liss1975 ( 2013-10-27 11:56:42 +0400 )редактироватьДля тех , кто хочет всё знать пишут книги и устраивают платные курсы. Клонирование однотипных вопросов в дальнейшем усложняет поиск для тех, кто действительно готов сам искать и обучаться.
zzuz ( 2013-10-27 13:05:27 +0400 )редактироватьУважаемый zzuz что бы такие как я не отнимали драгоценное время у "больших умов" проще скинуть ссылку, что займет меньше времени чем писать "...кто хочет всё знать пишут книги и устраивают платные курсы..." Уж поверьте я тоже не пальцем делан и есть вещи в которых я знаю гораздо больше чем Вы и если бы Вы спросили помощи у меня я бы с большим удовольствием ответил...Спасибо!
liss1975 ( 2013-10-27 21:29:34 +0400 )редактироватьЗдесь нет больших умов, здесь только те , кто говорят гуглу "asterisk port iptables",например для начала. Действительно бывают вопросы , которые найти в сети трудно либо из-за их редкости и сложности , либо оригинальности. Ваш вопрос обсуждался сто раз, просто очередной раз лень взяла вверх и задан вопрос-клон.
zzuz ( 2013-10-28 02:21:56 +0400 )редактироватьСпасибо всем, вопрос решен с помощью специалистов Voxlink
liss1975 ( 2013-10-29 00:05:43 +0400 )редактировать