Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

fail2ban не банит

0

пытаются сбрутить сип таким образом

[2013-11-25 08:14:13] NOTICE[4096][C-00000090] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=39ddd577 (50.7.255.132:5070)
[2013-11-25 08:16:02] NOTICE[4096][C-00000091] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=d01912a0 (198.27.87.224:5080)
[2013-11-25 08:27:08] NOTICE[4096][C-00000092] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=b864db92 (50.7.255.132:5074)
[2013-11-25 08:33:57] NOTICE[4096][C-00000093] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=845fe5c7 (198.27.87.224:5071)
[2013-11-25 08:40:10] NOTICE[4096][C-00000094] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=50cc3037 (50.7.255.132:5070)
[2013-11-25 08:51:23] NOTICE[4096][C-00000095] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=6cdb05c5 (198.27.87.224:5076)
[2013-11-25 08:53:50] NOTICE[4096][C-00000096] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=82449a32 (50.7.255.132:5076)
[2013-11-25 09:07:16] NOTICE[4096][C-00000097] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=cda428b3 (50.7.255.132:5078)
[2013-11-25 09:09:18] NOTICE[4096][C-00000098] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=494276db (198.27.87.224:5073)
[2013-11-25 09:20:51] NOTICE[4096][C-00000099] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=75017884 (50.7.255.132:5070)
[2013-11-25 09:27:03] NOTICE[4096][C-0000009a] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=16d86edb (198.27.87.224:5076)

т.е. поочередно меняют ip адрес на запрос. Fail2ban банит в случае, если больше 2x запросов с одного ip по порядку. Как заставить его отправлять в бан это?

удалить закрыть спам изменить тег редактировать

спросил 2013-11-25 11:26:48 +0400

manchelsi Gravatar manchelsi
1 1

обновил 2013-11-25 13:19:40 +0400

zzuz Gravatar zzuz flag of Russian Federation
6744 2 6 69
http://line24.ru/

Comments

Для каждой версии астериска есть свои настройки fail2ban'a. Ищите...

Out ( 2013-11-25 11:57:15 +0400 )редактировать

причем здесь версия астера. Я собирал все вручную. Логи то есть, правила в Fail2ban есть, но не банит он это, как заставить его, уже вручную добавил эти адреса в iptables, вот так: iptables -A INPUT -s 198.27.87.224 -j DROP iptables -A INPUT -s 198.27.87.224 -j REJECT все равно пускает

manchelsi ( 2013-11-25 12:01:53 +0400 )редактировать

Можете и ногами собрать... вывод в логи у разных версий астериска отличается

fail2ban'y надо верный лог скормить

Ищите поиском по "fail2ban не банит адрес 127.0.0.1"

Инфа по версиям: http://www.fail2ban.org/wiki/index.php/Asterisk

Out ( 2013-11-25 12:51:55 +0400 )редактировать

Да знаю. До этого в логах при этом запросе вообще мой ip адрес отображался, лог привел к данному виду только после пересборки chan_sip.so, сейчас хоть вижу левые адреса. Вообщем копаю в правилах fail2ban, тестирую сижу. Как назло брутить с этих адресов стали в 3 раза реже.

manchelsi ( 2013-11-25 13:27:30 +0400 )редактировать

1 Ответ

0

Проверять

fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
ссылка удалить спам редактировать

ответил 2013-11-25 13:21:40 +0400

zzuz Gravatar zzuz flag of Russian Federation
6744 2 6 69
http://line24.ru/

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-11-25 11:26:48 +0400

Просмотрен: 402 раз

Обновлен: Nov 25 '13

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.