Error: syntax error, unexpected '=>', expecting '(' or ';' or '=' or ':'

показать макрос можешь?

[root@tel asterisk]# cat blacklist.ael macro blacklist(num) { s => { NoOp(ololol); }

блен

там ещё одна фигурная скобочка в конце

но она есть

вот даже на такой макрос ругается

блин, я ael не разумлю =)

забавно, но метки обозначаются как s: а не s=>

а как на Asterisk в мобильные сети выходят? Есть какие-то специальные тарифы от операторов?

Есть

У мегафона есть виртуальные сим

Есть задарма, которая дает номера

Можно и gsm-sip гейтвей воткнуть

Можно и usb модем

Короче было бы желание

про usb модемы почитал как их подключают к usb-свитчам, и помещают в вентилируемые корпуса

Лучше уж их использовать только для смс

!!! доброе утро!!!

!!! доброе утро!!!

Здавствуй, мир.

exten => s,1,Answer() same => n,Playback(helloworld) same => n,Hangup()

exten => s,1,Answer() same => n,Playback(helloworld) same => n,Hangup()

context hello => { s => { NoOp(hi); }; };

context hello => { s => { NoOp(hi); }; };

СЛАВА AEL!

СЛАВА AEL!

Да, но нет... Особенно потому что он конвертируется в обычный формат :D

А есть кто с lua в диалплане? :)

но зачем, когда есть ael?

поставил asterisk на vps и уже наблюдаю как кто-то пытается пароли к юзерам подбирать

а как запретить к asterisk все внешние подключения чтобы только изнутри сервера можно было голосовые файлы номера слать?

и все входящие тоже запретить

Fail2ban

iptables

Вернее диалплан написать так, чтобы не было входящего контекста

А кто с freeswitch на ты?

А кто с freeswitch на ты?

ru_freeswitch https://telegram.me/ru_freeswitch

Cсылки желательно без таких вот огромных картинок ;)

Каких картинок??

Каких картинок??

Удваиваю. Каких картинок?

Cсылки желательно без таких вот огромных картинок ;)

Картинки сами подтягиваются клиентом

На виндовом десктопном картинок нет. В Андроидном - есть

Сейчас уже картинки нет

Сейчас уже картинки нет

тебя что картинки напрягают?

не успел fail2ban настроить для астериска, как он уже начал банить ip пытающиеся к ssh ключи подобрать

вот думаю, имеет ли смысл отключать авторизацию по паролю и оставить только по сертификату

астериск смотрит во внешку со стандартным ssh портом? О_о

а где IPS, где firewall, где безопасность

а какой толк менять ssh на нестандартным если тем же nmap можно легко найти на каком порту ssh ?

часть ботнета отсеивает, нагрузка на сервак меньше

ключевое как бы было - внешка, firewall)

астериск выключен, я его только ещё настраиваю

Просто астериску закрой доступ везде кроме локалки сип-провайдера

И ссш только из локалки

серваки с бизнес-функционалом вообще не должны смотреть во внешку напрямую, я считаю

Йеп. А для доступа должен быть джамп или впн

Или лучше впн до джампа

https://m.habrahabr.ru/post/308652/

Кстати, про безопасность астериска, задумался вот. Есть желание дать доступ пользователям с мобильных sip-клиентов. В пределах офиса, понятное дело, по wi-fi. А вот как безопасно подключить их с внешки, не настраивая на каждом девайсе vpn? )

Кстати, про безопасность астериска, задумался вот. Есть желание дать доступ пользователям с мобильных sip-клиентов. В пределах офиса, понятное дело, по wi-fi. А вот как безопасно подключить их с внешки, не настраивая на каждом девайсе vpn? )

через порт кнокинг. посоздавать им в браузерах закладку на твою айпишку и нестандартный порт. если был конект на этот порт то заносим в белый список. адреса из белого списка пускаем к астериску в файрволе

Хм. Вариант

через порт кнокинг. посоздавать им в браузерах закладку на твою айпишку и нестандартный порт. если был конект на этот порт то заносим в белый список. адреса из белого списка пускаем к астериску в файрволе

проще выпын

Кстати, про безопасность астериска, задумался вот. Есть желание дать доступ пользователям с мобильных sip-клиентов. В пределах офиса, понятное дело, по wi-fi. А вот как безопасно подключить их с внешки, не настраивая на каждом девайсе vpn? )

О, спасибо за идею.

fail2ban правильно сконфигурированный решает задачу и без лишних проблем пользователей. Особенно если пароли раздаёте Вы.. а не они выбирают

особенно Ф2Б решает проблему если софтфон автоматом регистрируется и за пару секунд тебя банит ?

а то было такое, занесло в банлист и хоть ты тресни

пока успел свою подсеть занести в разрешенные меня уже забанило

то уж сам себе злобный буратино. Зачем такие драковоские условия ставить?

дефолтные настройки ?

просто какой то софтфон автоматом раз за разом пробовал регатся(новый сервак оставил на старой айпишке)

я тюнинговал и флуд входящими, исходящими, флуд запросом авторизации.. пришлось всё изучать и настраивать. Но.. сейчас вроде как наружу торчит.. и не вскрывали.. по крайней мере я об этом не знаю :)

да, есть кривые софтфоны. Случается. Пароль неверный ввёл.. а он и долбится и долбится... без таймаутов. Но это редкость

ещё есть клиенты с проксированием через свой сервер. Одного забанило.. и все отвалились :)

дурацкий вопрос... sngrep работает ПОСЛЕ iptables? Т.е. то, что iptables сделал DROP... sngrep не должен видеть?

ну в теории да

файрвол ведь идет ДО всего В ТЕОРИИ

ставлю тоупое правило в iptables... а флудные пакеты всё равно доходят... не понимаю! :(

ну попробуй заблочить какого то клиента по айпишке и посмотри будут ли от него конекты в снгреп

Всем привет

Посоны, подскажите есть ли запись с последнего астерконфа?

так будет ясно кто раньше. а то есть вариант что ты не все флуды отрезаешь

я точно знаю что оно проходит, т.к. эти пакеты видны даже в security логе

ну значит алгоритм дропа доделай, что бы не пропускал эти пакеты

флуд сыпется с разных айпишек?

с одного. его и пытаюсь закрыть. условий нет вообще.. только источник. не понимаю пока почему не срабатывает

12:32:00.435694 IP 109.200.30.158.5307 > 85.142.148.80.5060: SIP, length: 340 и вот правило: DROP all — 109.200.30.158 0.0.0.0/0

не отсекает чтоб его..

что то вообще на айпитейблсы не смахивает ?

109.200.30.158.5307 тут точно точка а не ":" ? хотя может у астера синтаксис такой

iptables -L -n | grep 109.200.30.158

а первая строка из tcpdump

а чейн то какой?

может форвард и инпут спутал?

или акцепт влепил перед этим ?

sngrep это ж по сути tcpdump, а tcpdump отрабатывает до fw

sngrep это ж по сути tcpdump, а tcpdump отрабатывает до fw

до фаервола? не думаю.

блин, да глянуть в логи астера прилетает ли что то и всё ?