Микротиком

А. Тогда интересно, да

Файлтубан?

да банально фейлтубан повторить тиком. Ведь ф2б тупо ловит ответы о неправильном логине и увеличивает щетчик. никто не мешает это повторить на тике через L7. я думал давно так все делают ?

ну я не делал

ну у меня и необходимости не было

ну а показать как ты это делаешь?)

ну я не делал

меня аватар

# Asterisk 1.4 use the following failregex failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny) NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL NOTICE.* <HOST> failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' \(from <HOST>\) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@<HOST>.* NOTICE.* .*: Sending fake auth rejection for device .*\<sip:.*\@<HOST>\>;tag=.*

будь в тренде

вот вам регекспы из ф2б, как их занести в Л7 тика думаю не надо расказывать

меня аватар

у меня жена добрая

?

ну а показать как ты это делаешь?)

а у меня нет астериска щас ?. но если так просишь можна накидать ПРИМЕРНЫЙ конфиг, а там уже допилишь руками ?

Как я делал(для ссх и рдп):

/ip firewall mangle add action=add-src-to-address-list address-list=_BRUTE_RDP_BAN \ address-list-timeout=2m chain=forward comment="BRUTE RDP go BAN" \ connection-state=new dst-port=3389 in-interface=all-ppp protocol=tcp \ src-address-list=_BRUTE_RDP_5 add action=add-src-to-address-list address-list=_BRUTE_RDP_5 \ address-list-timeout=1m chain=forward comment="BRUTE RDP try 5" \ connection-state=new dst-port=3389 in-interface=all-ppp protocol=tcp \ src-address-list=_BRUTE_RDP_4 add action=add-src-to-address-list address-list=_BRUTE_RDP_4 \ address-list-timeout=1m chain=forward comment="BRUTE RDP try 4" \ connection-state=new dst-port=3389 in-interface=all-ppp protocol=tcp \ src-address-list=_BRUTE_RDP_3 add action=add-src-to-address-list address-list=_BRUTE_RDP_3 \ address-list-timeout=1m chain=forward comment="BRUTE RDP try 3" \ connection-state=new dst-port=3389 in-interface=all-ppp protocol=tcp \ src-address-list=_BRUTE_RDP_2 add action=add-src-to-address-list address-list=_BRUTE_RDP_2 \ address-list-timeout=1m chain=forward comment="BRUTE RDP try 2" \ connection-state=new dst-port=3389 in-interface=all-ppp protocol=tcp \ src-address-list=_BRUTE_RDP_1 add action=add-src-to-address-list address-list=_BRUTE_RDP_1 \ address-list-timeout=1m chain=forward comment="BRUTE RDP try 1" \ connection-state=new dst-port=3389 in-interface=all-ppp protocol=tcp

ssh и rdp другое немного

я так пока сделал

chain=forward action=add-dst-to-address-list protocol=udp src-address=192.168.7.50 dst-address-list=!sip_auth address-list=sip-no-auth address-list-timeout=2w src-port=5001-6060 content=SIP/2.0 401 Unauthorized dst-limit=5,5,dst-address/30s connection-bytes=0-2048 log=no log-prefix=""

вопрос достаточно ли такого "content=SIP/2.0 401 Unauthorized"

или еще почему то фильтрануться

Андрей. а ты запусти снифер и пологинся ?, посмотри что там еще прилетает

я вот выше копипастил ответы о ошибках, давайте подумаем как их в Л7 перевести

NOTICE.* .*: Registration from '.*' failed for * думаю так пойдет для Л7, как думаете?

* это типо любой символ?

угу

а количество их?

я тупо глянул конфиг ф2б

http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk

например тут

чет я не думаю что f2b и то что в пакете летит клиенту это одно и тоже

все таки мой конфиг уже поймал пару человек

андрей, по идее ф2б это тот же самый Л7 в случае астера

а в твоей пасте я не вижу такой же ошибки

он тупо слушает пакеты и всё

он же поверх iptables работает

точнее не поверх, это тупо фронтенд для них ?

щас сделаем проще, я запущу виртуалек с астернау и глянем что там в ф2б прописано

может у тебя есть астерискнау или FreePBX ? там просто фейл2бан уже настроеный и готовый

да у меня много что есть

сразу и глянуть по чему конкретно он ловит

нашел конфиг ф2б? а то я еще виртуалку нужную ищу

вот конфиг самого свежего ф2б

так что взяв оттуда патерн и добавив еще пару своих вариантов(как сдела Андрей) можно поднять аналог ф2б на тике

failregex = SECURITY.* SecurityEvent="FailedACL".*RemoteAddress=".+?/.+?/<HOST>/.+?".* SECURITY.* SecurityEvent="InvalidAccountID".*RemoteAddress=".+?/.+?/<HOST>/.+?".* SECURITY.* SecurityEvent="ChallengeResponseFailed".*RemoteAddress=".+?/.+?/<HOST>/.+?".* SECURITY.* SecurityEvent="InvalidPassword".*RemoteAddress=".+?/.+?/<HOST>/.+?".*

Андрей я думаю можно прикрутить если захтеть

Волк, а это откуда взято?

с сылки котрую ты дал

а, теперь вижу ?. если всё упростить то увидим что у астера в ответах есть текст в чисто виде(если судить по регекспах). можно спокойно по нему ловить ?

FailedACL InvalidAccountID InvalidPassword ?

бблин, как из путти текст скопировать? что бы я сюда скопировал регексп из фрипбх ?

просто выдели

да пробовал, не идет ?

ладно. из картинки перепечатается при нужде ?

да пробовал, не идет ?

через vi открой

или файликом скинь))

Серег попробуй скинуть))

Вот статья https://xakep.ru/2011/08/23/58089/ про failregex L7

А реально ли такое организовать тиками. Два тика, два прова, оба дают фуллвью бгп. Необходима отказоустойчивость и балансировка. Один провайдер в первый тик, второй во второй тик. Клиенты ходят через тик с провайдером с меньшей дистанцией до удалённого сервера. Например до гугла через первого, а до яндекса через второго. При этом при выходе из строя одного тика или прова - всё работало через оставшееся. Это vrrp и ibgp? Или нет? Это реализуемо вовсе и чем если да.

http://wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall

короче знающие люди мне советуют глянуть вообще ответы астериска

а не по f2b смотреть

типо типичные ответы астера и по коду рубить. 400 401 и тп

А реально ли такое организовать тиками. Два тика, два прова, оба дают фуллвью бгп. Необходима отказоустойчивость и балансировка. Один провайдер в первый тик, второй во второй тик. Клиенты ходят через тик с провайдером с меньшей дистанцией до удалённого сервера. Например до гугла через первого, а до яндекса через второго. При этом при выходе из строя одного тика или прова - всё работало через оставшееся. Это vrrp и ibgp? Или нет? Это реализуемо вовсе и чем если да.

используй VRRP и не городи костыли

Андрей. может и верно. я глянул ссылку Волфа, я был не прав, ф2б не пакеты смотрит а логи ?

ERROR: S client not available

$ fail2ban-regex /var/log/asterisk.log 'NOTICE.* .*: Registration from '.*' failed for '' — No matching peer found'

используй VRRP и не городи костыли

В данном случае надо свич ставить который будет делить провайдеров на оба тика или что?

В данном случае надо свич ставить который будет делить провайдеров на оба тика или что?

да .. либо от прова просить лишнйи кабель

ВРРП не пойдет, так как он второго бросит в ПОЛНЫЙ резерв. а надо что бы бегали паралельно

А реально ли такое организовать тиками. Два тика, два прова, оба дают фуллвью бгп. Необходима отказоустойчивость и балансировка. Один провайдер в первый тик, второй во второй тик. Клиенты ходят через тик с провайдером с меньшей дистанцией до удалённого сервера. Например до гугла через первого, а до яндекса через второго. При этом при выходе из строя одного тика или прова - всё работало через оставшееся. Это vrrp и ibgp? Или нет? Это реализуемо вовсе и чем если да.

погоди они дают тебе BGP 7

Т.е. либо свич (оптический) которой так же выйдет из строя, либо варить оптику.

Смотри они дают тебе BGP так?

ВРРП не пойдет, так как он второго бросит в ПОЛНЫЙ резерв. а надо что бы бегали паралельно

Ну он так и сказал, забей на эти костыли и пользуй толькл вррп.

Смотри они дают тебе BGP так?

Да

у тебя сейчас 3 ip один провайдер 1-го, второй 2-го .. а третий твой AS ?

у тебя сейчас 3 ip один провайдер 1-го, второй 2-го .. а третий твой AS ?

На самом деле у меня ас и 24 подсеть, плюс по одному адресу от провайдеров.

В смысле ты прав во всём.

5 сек схемку нарисую

точно что у тебя за миротики?

Провайдеры могуи еще по 1 кабелю дать?

Ccr1036

Провайдеры могуи еще по 1 кабелю дать?

В теории могут, но геморрой.

тогда твоя схема вот так))

Херасе отказоустойчивый кластер на свичах?

либо вот

тфу ты))

Вот )) если пров даст 2 провода

вторую картинку ен сомтреть))\

Делаем BGP+VRRP)) и радуемся

VRRP тема хорошо работает

Связка астера + микротик http://it-mehanika.ru/index.php/2009-12-06-20-02-41/46-asteriskpbx/192-asterisksuslik1

Господа, если у меня пачка ойпи на wan мне бы на вебсервер пробросить все, мне рыть в сторону mangle + маршрут с prefsource?

ойпи чего чего?)

А vrrp и ospf, по одному линку от прова (один линк в один тик) и линк между тиками?