Приветствую Недавно вот такое в логах увидел

Похоже на SQL инъекции. Точнее, попытки.

Есть идеи, как с этим бороться? Пока ходят только по IP-адресам, поэтому можно фильтровать так, но это временное решение

Ходят в БД или на АТС по адресам?

В БД пишет сама АТС или middleware?

Это в CDR. Т.е. в callerid подставляют SQL код

А АТСка просто в БД складывает. Это Fusion, если что ?

Фильтровать и выставлять плохим флаг "не ложить в cdr"

вот поэтому CDR нужно вставлять используя "подготовленные выражения"

Во Fusion так и делается. $this->db->exec(check_sql($sql));

И пока непонятно как фильтровать. Просто регекспами оставлять только буквенно-цифровые данные?

Да. RegExp валидация.

У номеров вполне конкретный формат.

У имен - нет

А они в том месте нужны?

Они всегда нужны )

Можно глушить входящие и подставлять в самой атс.

в пыхе есть функи экранирования для каждой БД пропускать через функу поле, если на выходе не равно тому что на входе значит есть попытка заинектить

Это в Европах-Азиях callerid namе нету фактически

в пыхе есть функи экранирования для каждой БД пропускать через функу поле, если на выходе не равно тому что на входе значит есть попытка заинектить

Ок, спасибо, гляну в этом направлении.

в пыхе есть функи экранирования для каждой БД пропускать через функу поле, если на выходе не равно тому что на входе значит есть попытка заинектить

check_sql это достаточно бесполезная функция. Но Fusion использует check_str которая как раз и экранирует строки чтобы их можно было использовать в sql

Какая верся Fusion? до 4,2,1 была проблема с SQL Injection на стороне Lua Сейчас используется простейшее экранирование одинарных ковычек Еще я жду когда FS примут мой PR c добавлением настоящих запросов с параметрами в Dbh класс (скоро год)

Ну и на стороне PHP Марк обещал начать переводить все на параметры, на пока как-то не очень движется

во фьюжене просто больно смотреть как запросы строят

Там просто лучше не смотреть на код вообще :)

Но система скорее работает чем нет

система локализации вообще фееричная) уже ХЗ сколько есть l10n и пр. аналоги нет блин все в массивах руками

Опять таки оно работает. И это не самая критичная проблема. И Марк фактически занимается системой в одиночку. Есть те кто добавляет новый функции или исправляет баги Но ни кто не хочет начинать все переписывать И в конечном счете именно Марк занимается поддержкой

Это конечно, да, но ничего лучше нету. На код FreePBX мне тоже смотреть больно.

Подскажите пожалуйста, кто-нибудь ставил один активный бакап для двух серверов?

Я имею в виду с trackcall

И что взять в качестве балансера?

я делал кластер с треколлом

но только актив стендбай

зфсуьфлу

pacemaker как кластерный софт

В качестве балансера - любой sbc: kamailio, opensips

T.38 у кого-то нормально ходит? что то не могут никак договорится между собой два разных SSW, есть какие подводные камни?

у меня между FS и Cisco ходит t.38

что то особенное включал, конфигурил>? я пытаюсь принять и в файл сложить на FS .

в 1.4 оно глючит, если что

в 1.6 как-то получше

1.6 вроде. сваливаются и исходящие и входящие на стадии преамбулы(

1.6.18 - проблемный, .19 уже поправленный

1.6.13 блин.

у меня так сделано: <action application="set" data="api_hangup_hook=system /opt/utils/rxfax.sh ${caller_id_number} /home/storage/fax/Inbox/${uuid}.tif ${destination_number}"/> <action application="answer" /> <action application="playback" data="silence_stream://2000"/> <action application="set" data="fax_enable_t38_request=true"/> <action application="set" data="fax_enable_t38=true"/> <action application="rxfax" data="/home/storage/fax/Inbox/${uuid}.tif"/> <action application="hangup"/>

freeswitch@internal> version FreeSWITCH Version 1.2.12 ()

:)

звонки приходят по Е1 в Cisco 2811, с неё по SIP на FS

и вот на самом стыке CIsco - FS заставить работать T38 было не просто

пришлось играть в IOS-рулетку

причём между Cisco-Cisco факсы ходили, между FS-FS - тоже, а Cisco-FS - нет, долго разбирался при помощи WireShark

а вот это обязательно? <action application="playback" data="silence_stream://2000"/>

это бестпрексис, чтобы медия успела проключиться

я просто слип пишу, но так правильнее

причём между Cisco-Cisco факсы ходили, между FS-FS - тоже, а Cisco-FS - нет, долго разбирался при помощи WireShark

ну вот я тоже танцую с бубном вовсю. они sdp обменялись, всё ок. начинают слушать друг друга и нифига.

вовово, надо смотреть, что внутри t38

я ещё лет 7-8 назад это делал, когда версия 1.2 была актуальной :)

если не ошибаюсь, внутри t38 там где-то было указано Volume=0 или какой-то такой параметр и FS ругался на то, что в течение таймаута не получено данных

кстати, а почему T38? Многие на 711 работают

С месяц назад был ClueCon где рассказывали про факсы. В ветке 1,6 много улучшений. FS вроде поддерживает даже цветные факсы :)

Но у меня конфиги которые работали на 1,4 не заработали на 1.6

Запускаю 1,4,26 факсы идут. Запускаю 1,6, c теми же конфигами факсы не работают

Это было где то на 1,6,9, После этого больше не тестировал. Это было и еще у одного человека

Это было где то на 1,6,9, После этого больше не тестировал. Это было и еще у одного человека

1.6.18 ходит норм

у нас было ровно наоборот, написал в 1.4 код с уведомлением, не работало. Переехали на 1.6 - заработало :)

кстати, а почему T38? Многие на 711 работают

потому что это протокол специально для факсов, гоняется не аудио а картинка.

согласование на 711 хуже

если не ошибаюсь, внутри t38 там где-то было указано Volume=0 или какой-то такой параметр и FS ругался на то, что в течение таймаута не получено данных

вот похоже на то, что никто его не слушает или не слышит. по дампам всё гонится. т.38 надо для тестов погонять.

вот с g.711 на одном плече https://snag.gy/nt1sX6.jpg

вот оба плеча в т.38 https://snag.gy/LyB2Gf.jpg

схема такая Eltex TAU-1IP <-SIP-> ELTEX SMG 1016 <-SIP-> FS

Я пробовал TAU-1IP <-SIP->AddPak ap200

работало во всех варианта. T30/38 <->T30/38

Даже Н323 на AddPak :)

Правда H323/SIP слабо влияют на факс

потому что это протокол специально для факсов, гоняется не аудио а картинка.

поверьте, знаю :) просто с 711 всё проще и проблем меньше

кто может сказать, на model name : Intel(R) Xeon(R) CPU E5405 @ 2.00GHz фс на 400 каналах - было под 9 LA, idle где-то 40%. Это нормально?

С транскодингом?

Без - многовато

А с, когда 711 и 722?

А хз.

Вроде норм

оказывается, луа хуки однопоточные

если там естьзадержки, это влияет на все звонки, а не только на тот где задержка

там один поток на диалпла на sip профиль

Хотя не уверен. Может один поток на авторизацию. а далее для диалплана отдельный поток

короче, жопа.

надо перепиливать на esl теперь

А асинхронно перепилить не выйдет?

Типа хук делает http запрос и отваливается, а ответ - куда-то в другое место приходит

надо тогда логику переделывать

там результаты запросов нужны

а просто mod_curl ?

на CHANNEL_ANSWER?