почему то guest и вполне свои пиры светятся (

свои в whitelist

тогда надо с мобилы софтофоны курочать.

а впны поднимать для звонков на мобиле - неудобно

че делать?

Банить по юзерагенту

И перенести порт, а всех кто стучат в 5060 - сразу в бан

а впны поднимать для звонков на мобиле - неудобно

могу посоветовать способ который мы иногда делаем. опять таки ректально ;)

могу посоветовать способ который мы иногда делаем. опять таки ректально ;)

ты про что? )

по умолчанию закрываем 5060 ото всех (ну кроме пиров с фикс IP). открывает какой-нить порт 223344 на него веб сервер с простешним скриптом на пыхе, который при дергании правильной URL шлет в iptables (или ipset) в whilelist $_SERVER['REMOTE_ADDR']. Перед запуском софтфона с мобилы абоненту нада тупо нажать на ссылку на рабочем столе с нужным URL .

Банить по юзерагенту

а кто мешает юзерагент произвольный безобидный указывать брутфорсерам?

по умолчанию закрываем 5060 ото всех (ну кроме пиров с фикс IP). открывает какой-нить порт 223344 на него веб сервер с простешним скриптом на пыхе, который при дергании правильной URL шлет в iptables (или ipset) в whilelist $_SERVER['REMOTE_ADDR']. Перед запуском софтфона с мобилы абоненту нада тупо нажать на ссылку на рабочем столе с нужным URL .

Забавно. ) Но не сильно отличается от обычного ВПН по замороченности.

Да ко мне телефоны ломятся на раз два. И грандстрим и ялинки

и все равно не получился держать на мобиле софтофон в режиме push

Такая же история.

а кто мешает юзерагент произвольный безобидный указывать брутфорсерам?

Кто поумнее тот да. Но таких один из сотни

Есть на микротике такая фишка. Ставишь порт 22443 и если кто-то стукнет в 22442 то сразу ип летит в бан

и все равно не получился держать на мобиле софтофон в режиме push

ну никто не мешает написать <meta refresh > каждую минут на странице. правда тут уже браузер может уйти в фон и не выполнять скрипты

Через Сири шорткаст. Говоришь Сири телефония. Берет внешний ип. Идёт по ссх на сервак добавляет в фаервол и запускает звонилку )))

Кто поумнее тот да. Но таких один из сотни

Кстати, помню видел гдето на форуме ты с meral как раз по этому поводу кажется говорил... или это он с кем-то... )

Через Сири шорткаст. Говоришь Сири телефония. Берет внешний ип. Идёт по ссх на сервак добавляет в фаервол и запускает звонилку )))

ну не х;% себе )

А вообще да. Кто-то писал. Самый простой способ патчить и ловить нотисы

ну никто не мешает написать <meta refresh > каждую минут на странице. правда тут уже браузер может уйти в фон и не выполнять скрипты

а это вообще суперкостыли ))

ну не х;% себе )

Да. Такие фишки тестили. )))

Да. Такие фишки тестили. )))

Напомнило IFFFT

Кстати, помню видел гдето на форуме ты с meral как раз по этому поводу кажется говорил... или это он с кем-то... )

Не помню такого. Хотя хз, может было. У меня порт 5060 - типа honeypot-а, плюс юзерагенты известных брутфорсеровщиков банятся ну и на закуску fail2ban смотрит в secure лог астера. А выше уже по acl защита

Не помню такого. Хотя хз, может было. У меня порт 5060 - типа honeypot-а, плюс юзерагенты известных брутфорсеровщиков банятся ну и на закуску fail2ban смотрит в secure лог астера. А выше уже по acl защита

я в айпитейбле ни бум-бум. ) надо костыль по разным манам собирать... ) А может забить... )

чем вообще такие инвайты опасны?

Я так понял если allowguest=no то ничем.

Я так понял если allowguest=no то ничем.

а как интересно научить fail2ban банить эти айпи что шлют инвайты если они получают "401 Unauthorized" и получают Call State "REJECTED" ?

ботнет блин. и для всех указан User-Agent: Linksys-SPA942

поеду ка домой...

Есть патч.

После него в консоль летят ип. Обыными нотисами. Там все видно и на них работает fail2ban

Ладно открою вам еще один страшный способ

он правда тоже через жопу

(как обычно)

включаете allow_guest=yes, дефолтный контекст ставите [hui]

включаете allow_guest=yes, дефолтный контекст ставите [hui]

huj

в нем закладыаете маску типа exten => _XXXXX.,1,Set(IP=${CHANNEL(peerip)})

или побольше X чтобы точно выловить спамеров МН

а дальше его прямиком в файрвол)

huj

это по чешски

это по чешски

не, я еще до чехии так писал. По чешски h произносится как украинская г, в слове горилка. По чешски правильно chuj

в лучших традициях ru-комьюнити, любая тема плавно сходит на обсуждение хуев ;)

Ладно открою вам еще один страшный способ

а ты знаешь толк в извращениях)))

а ты знаешь толк в извращениях)))

а то!

говорила мама "иди, сынок, во врачи, на проктолога" .

а я не послушал, пошел в ИТ. но через жопу могу сделать все что угодно ;)

а как задавать параметры для guest ? они юзают default ?

ага. тока надо аккуратно, туда летят в т.ч. options от провайдеров и тд

не забудь про whitelist кароче

ну в опциях от прова будет его номер или ип ) надо будет глянуть ) есть свежий астер который можно задницей выпустить в мир )

шо, фотографы хотят стать телефонистами?

чем вообще такие инвайты опасны?

Сокеты забивают. Ну и если долго мучаться - что нибудь получиться

Есть патч.

Можно пруфлинк?

Можно пруфлинк?

Завтра гляну.

Все б вам патчить. Хорошо хоть не KDE под FreeBSD

ну раз в месяц показываю ссылку как банить нужно и .... и через месяц снова велосипед изобретают

https://forum.asterisk.ru/viewtopic.php?f=3&t=11518

Так же не интересно

А если усложнить, эти два астера на одном сервере с 1 ip и одним доменным именем

А что вам мешает взять "второй" хост под "новый" Asterisk? Не могу понять зачем надо _именно_так_ усложнять процесс перехода.

ну раз в месяц показываю ссылку как банить нужно и .... и через месяц снова велосипед изобретают

Впервые вижу такую ссылку ))) (предыдущие выкладывания, по всей видимости, не видел) Вот эта команда улыбнула: /sbin/iptables -I INPUT 1 -j BLACKLIST-INPUT

ну раз в месяц показываю ссылку как банить нужно и .... и через месяц снова велосипед изобретают

В мире линукса множество верных путей решения.

В мире линукса множество верных путей решения.

Провел небольшие "изыскательные работы" по тому скрипту. Если удалить первое правило в цепочке INPUT, созданное командой: /sbin/iptables -I INPUT 1 -j BLACKLIST-INPUT , то все остальные потуги теряют смысл. В любом случае, направление блокировки интересное, но требует доработок для промышленной эксплуатации. Кстати, зачем оставлять открытым наружу порт 5060, если потом его надо защищать практически от всего мира?

Провел небольшие "изыскательные работы" по тому скрипту. Если удалить первое правило в цепочке INPUT, созданное командой: /sbin/iptables -I INPUT 1 -j BLACKLIST-INPUT , то все остальные потуги теряют смысл. В любом случае, направление блокировки интересное, но требует доработок для промышленной эксплуатации. Кстати, зачем оставлять открытым наружу порт 5060, если потом его надо защищать практически от всего мира?

например если ваши абоненты находятся за динамическими IP адресами

например если ваши абоненты находятся за динамическими IP адресами

Это по части "оператора", например, Zadarma :-) А если по части "корпоративного сегмента"?

например вы хотите чтобы ваши сотрудники работали с телефонией из дома или мобильных телефонов

Сомневаюсь, что тот скрипт будут использовать операторы услуг связи

нет конечно) у нас свои алгоритмы для "вычисления по IP"))

например вы хотите чтобы ваши сотрудники работали с телефонией из дома или мобильных телефонов

У тех компаний, чьи сотрудники работают удаленно, наверняка будут тоже применяться свои алгоритмы ))) Но ответ я понял, принимается. В таком случае не будет ли целесообразнее использовать "российские сети"? (IP адреса для России; говорят, есть такие)

Будет

целесообразно еще прикрыть фродерские направления звонков

если за вас это оператор не сделал

https://forum.asterisk.ru/viewtopic.php?f=3&t=11518

а не эффективнее ли поменять порт?

это когда вы маленький

ведь про 10 000 записей в iptables это будет тоже нагрузкой

а как связан масштаб и порт?

для начала позвоните в билайн - и попросите слать на транк без авторизации на порт 5099

через 5 месяце получите ответ

плачьте

это да, но таких операторов не так много... а астер юзают и мелкие и средние компашки

в их случае сугубо имхо проще сменить порт. брутфорсеры же по порту ищут

для начала позвоните в билайн - и попросите слать на транк без авторизации на порт 5099

Я думал, что это клиенты подключаются к оператору...

ну если ты рулишь оператором то нет ?

хорошо - для клиентов 5099 - для билайна 5060 = сделайте красиво в asterisk 11

ну если ты рулишь оператором то нет ?

Минсвязь, это Вы? ))))

Виктор сорян не понимаю зачем мы обсуждаем билайн

Минсвязь, это Вы? ))))

не, РКН

я потаюсь донести мысль что не все бегут впереди поровоза

набираемся опыта, денег дали освоить не можем...

не, РКН

ах, пардоньте )))

и скрутить порт с 5060 это не самое красивое решение

я потаюсь донести мысль что не все бегут впереди поровоза

я понял. Ваше решение тоже хорошее только я нагрузку на iptables оценить не могу

хорошо - для клиентов 5099 - для билайна 5060 = сделайте красиво в asterisk 11

В чем конкретно сложности?

ipset

В чем конкретно сложности?

молодежь подтянулась

скрутите и нам раскажите в чем трудности

молодежь подтянулась

так просвети )))