@ru_freeswitch

Страница 285 из 430
 
енот
17.04.2018
15:50:49
Совет по астериску в чатике по фрисвитч )
Я советовался как безболезненнее съехать с астера

 
Pavel
17.04.2018
17:54:51
freeswitch@> status UP 0 years, 10 days, 2 hours, 24 minutes, 27 seconds, 681 milliseconds, 152 microseconds FreeSWITCH (Version 1.6.20 64bit) is ready 8059263 session(s) since startup 273 session(s) - peak 460, last 5min 296 11 session(s) per Sec out of max 60, peak 45, last 5min 29 1000 session(s) max min idle cpu 0.00/56.13 Current Stack Size/Max 240K/8192K До того как я поставил freeswitch стоял астер, который по ODBC ходил в Mysql за реалтаймом (extensions и pjsip) Я ребутал его, под конец, каждые 2 часа, иначе он начинал виснуть на запросах к скулю.
Если не секрет - 8 млн сессий за 10 дней это реальные вызовы или хакеры/подбиральщики не отфильтрованы ?

 
Alexandru
17.04.2018
17:57:34
На транзите это нормально

 
Или крупный ритейл

Google
 
Pavel
17.04.2018
18:07:05
В тему спрошу - что можете посоветовать для фильтрации подбиральщиков ? Про fail2ban знаю.

 
Konstantin
17.04.2018
18:07:47
iptables, в случае, если ограничен круг хостов, которым разрешено.

 
Повесить профиль на нестандартный порт, если это публичный сервис.

 
Victor
17.04.2018
18:08:58
Iptables с модулем recent ещё не помешает

 
Настроить лимит на регистрации. Превысил - в бан

 
Konstantin
17.04.2018
18:10:03
Разнести registarar и calls на разные порты и открывать на FW calls только для успешно зарегистрированных на registarar

 
Sergey
17.04.2018
18:10:38
Разнести registarar и calls на разные порты и открывать на FW calls только для успешно зарегистрированных на registarar
а так можно?

 
Konstantin
17.04.2018
18:10:53
а так можно?
А что мешает?

 
Pavel
17.04.2018
18:10:53
Не понял: iptables - уровень ОС ? Регистрации - уровень приложения. Как связать ?

 
Victor
17.04.2018
18:12:13
Не понял: iptables - уровень ОС ? Регистрации - уровень приложения. Как связать ?
Iptables может матчить строки

 
Посмотрите модуль xt_recent. С мобильника не очень удобно развернуто писать, извините

 
Konstantin
17.04.2018
18:12:59
Схема с разнесением: 1. registrar на Kamailio или даже SIPp и запоминанием контакта в БД 2. скрипт на событие успешной регистрации, добавляет правило в БД, которое протухает посредством другого скрипта, если не обновлено за заданный период (с гестирезисом, конечно) 3. Исх звонки на пользователей с получением контакта из БД

 
Вообще, для понимания, sofia зареганые контакты в БД хранит, по умолчанию это SQLite

Google
 
Sergey
17.04.2018
18:14:28
как клиент будет слать потом сообщения инвайт и прочие на другой порт?

 
Konstantin
17.04.2018
18:15:00
Как правило, на клиентах можно прописать отдельно registarar и outbound proxy/SIP server

 
Pavel
17.04.2018
18:16:51
Посмотрите модуль xt_recent. С мобильника не очень удобно развернуто писать, извините
Благодарю за советы. Надо подковаться

 
Konstantin
17.04.2018
18:17:10
В случае Kamailio, можно и один порт использовать, НО, REGISTER обрабатывать самим Kam, а INVITE пропускать дальше и только если ему можно(что проверяется в БД).

 
Всё описанное выше схемы рукотворные и никаким RFC не соответствуют, но и не противоречат. ;-)

 
Pavel
17.04.2018
18:19:45
Была мысль что-то через ESL ловить и в jail fail2ban добавлять.

 
Konstantin
17.04.2018
18:20:26
Была мысль что-то через ESL ловить и в jail fail2ban добавлять.
Можно, но это не убережёт от нагрузки и потенциальной возможности "пробиться".

 
Схемы, описанные выше призваны максимально обезопасить и снять нагрузку с основного приложения.

 
Pavel
17.04.2018
18:22:28
Спасибо. Попробую что-то применить. Хотел удостовериться что нет готовых решений, которые мог проглядеть

 
Konstantin
17.04.2018
18:23:05
rate limits схемы на kamailio можно поискать готовые

 
Yuriy
17.04.2018
18:29:21
На каме можно реализовать схему - когда при регистрации в лог падает кто регается fail2ban может забирать лог и банить по необходимым признакам

 
можно pike применить к reigster только

 
Да как бы куча вариантов в общем то...

 
Ihor
18.04.2018
00:00:44
У меня 99 процентов левых запросов отсекается тем, что на Каме запрещены просто ip в ruri для invite и register. Только доменные имена.

 
Alexey
18.04.2018
01:09:09
У меня 99 процентов левых запросов отсекается тем, что на Каме запрещены просто ip в ruri для invite и register. Только доменные имена.
два чаю

 
использовать ip-шник как realm вообще нет смысла

 
Fedor
18.04.2018
01:18:03
У меня 99 процентов левых запросов отсекается тем, что на Каме запрещены просто ip в ruri для invite и register. Только доменные имена.
Хоть в закреплённые ставить ?

 
енот
18.04.2018
01:22:45
Если не секрет - 8 млн сессий за 10 дней это реальные вызовы или хакеры/подбиральщики не отфильтрованы ?
Ничего не фильтруется, у нас некоторые сложности с архитектурой. Слабо эффективен файл2бан

 
Alexey
18.04.2018
01:46:47
Ничего не фильтруется, у нас некоторые сложности с архитектурой. Слабо эффективен файл2бан
он вообще переоценен, китайские ботнеты с миллионами участников могут один раз в сутки каждый пытаться, попробуй их забань

 
то ли дело нестандартный порт + realm=доменное имя + полный бан всех ip-шников Китая, Индии, Бангладеш и Пакистана на firewall ?

Google
 
енот
18.04.2018
02:00:39
то ли дело нестандартный порт + realm=доменное имя + полный бан всех ip-шников Китая, Индии, Бангладеш и Пакистана на firewall ?
Это очень иронично. У меня нестандартный порт и аудитория из Индии.

 
Alexey
18.04.2018
02:01:53
Это очень иронично. У меня нестандартный порт и аудитория из Индии.
круто, я думал, у них там и так есть кому телеком мутить, миллионы же айтишников

 
а они к вам ходят

 
енот
18.04.2018
02:02:34
круто, я думал, у них там и так есть кому телеком мутить, миллионы же айтишников
У нас халявные звонки за рекламу)

 
Yuriy
18.04.2018
02:16:38
круто, я думал, у них там и так есть кому телеком мутить, миллионы же айтишников
Они к нам ходят просить чтобы им телеком мутили. Вообще - индийский IT рынок - та нще помойка. У нас офис фронтендеров в индии. 30 программистов из коьорых только 2 программисты, остальные - мусор.

 
Vladimir
18.04.2018
02:17:06
Там людей много

 
Yuriy
18.04.2018
02:17:20
Людей ли...

 
Alexey
18.04.2018
02:18:38
Они к нам ходят просить чтобы им телеком мутили. Вообще - индийский IT рынок - та нще помойка. У нас офис фронтендеров в индии. 30 программистов из коьорых только 2 программисты, остальные - мусор.
есть такая проблема, средний уровень низкий другой вопрос, что толковых ребят тоже полно (в абсолютном измерении, а в процентом мало)

 
Yuriy
18.04.2018
02:22:20
Очень сложно из той толпы выуживать толковых. Это как иголку стоге сена искать.

 
Yura
18.04.2018
03:30:41
то ли дело нестандартный порт + realm=доменное имя + полный бан всех ip-шников Китая, Индии, Бангладеш и Пакистана на firewall ?
А ко мне много из Палестины ломятся. Пришлось Палестину забанить на файрволле.

 
Vladimir
18.04.2018
03:32:59
Так много где

 
Victor_sc120
18.04.2018
04:22:05
вот список - кого блокировать - пашет на ура https://forum.asterisk.ru/viewtopic.php?f=3&t=11518

 
Виталий
18.04.2018
07:36:33
У меня 99 процентов левых запросов отсекается тем, что на Каме запрещены просто ip в ruri для invite и register. Только доменные имена.
блин - элегантно-то как... беру на заметку...

 
енот
18.04.2018
07:37:41
блин - элегантно-то как... беру на заметку...
но это годится только если у тебя свои клиенты. а вот как по useragent фильтровать?

 
Виталий
18.04.2018
07:38:13
по юзерагенту - в файрволе

 
енот
18.04.2018
07:38:23
хм

 
Виталий
18.04.2018
07:38:30
и то что по доменным именам только регистрация - чем не решение для всех?

 
енот
18.04.2018
07:39:25
и то что по доменным именам только регистрация - чем не решение для всех?
подожди, а он имеет ввиду что регистрация НА домене а не IP? или от домена?

 
я чет запутался (

 
Виталий
18.04.2018
07:39:51
перечитай еще раз что товарищ сказал )

Google
 
Yuriy
18.04.2018
07:40:03
В доменах должны быть домены а не ip

 
енот
18.04.2018
07:40:24
перечитай еще раз что товарищ сказал )


 
ну яхз

 
Виталий
18.04.2018
07:40:39
ruri sip )?

 
Yuriy
18.04.2018
07:41:03
У меня вообще 2-х ступенчато проходит - домены разрешены только одного формата Если домен не по формату - то идет в лес Если по формату но слишком мног опопток регистрации falied то тоже идет в лес

 
Виталий
18.04.2018
07:41:43
ну это уже дальнейшее развитие... думаю что регистрацию на домен уже будет достаточно в большинстве случаев

 
Yuriy
18.04.2018
07:41:48
можно еще домены кэшировать, и проверять при приходе ссообщения тогда можно фильтровать толкьо по своим доменам вообще

 
енот
18.04.2018
07:42:55
ruri sip )?
то есть указывать сервак не IP а доменом, окей... а как отсечь это в фрисвиче? мне щас не до камалио.

 
Alexey
18.04.2018
07:42:59
Можно использовать левый порт и всех кто идет на 5060 отправлять в бан

 
Или повесить на несколько соседних ip профили и банить тех кто на них шлет трафик:)

Admin
ERROR: S client not available

 
Alexey
18.04.2018
07:48:20
то есть указывать сервак не IP а доменом, окей... а как отсечь это в фрисвиче? мне щас не до камалио.
пока заведите домены в директорию и мигрируйте учётки с айпишника https://freeswitch.org/confluence/display/FREESWITCH/Multi-tenant

 
енот
18.04.2018
07:48:48
пока заведите домены в директорию и мигрируйте учётки с айпишника https://freeswitch.org/confluence/display/FREESWITCH/Multi-tenant
у меня одноразовые учетки все

 
Alexey
18.04.2018
07:49:22
ого

 
ну лан

 
енот
18.04.2018
07:49:58
ну чел смотрит рекламу - приложению приходит учетка, она живет 20сек, с ней можно совершить 1 звонок

 
учетки хранятся в редисе, забираются пхп-скриптом через xml_curl

 
Borik
18.04.2018
07:50:31
У меня 99 процентов левых запросов отсекается тем, что на Каме запрещены просто ip в ruri для invite и register. Только доменные имена.
Утащу к себе в рецепты ?

 
Ihor
18.04.2018
07:54:57
подожди, а он имеет ввиду что регистрация НА домене а не IP? или от домена?
ruri = Request URI )

 
Когда в INVITE прилетает не number@domain, a number@ip_address

Google
 
Alexey
18.04.2018
09:32:37
АХАХАХАХАХАХАХАХАХА! Роскомнадзор поубивал огромными выгрузками свои «Ревизоры», с помощью которых автоматически проверяется факт блокировки ресурсов провайдерами: https://nag.ru/news/newsline/101175/roskomnadzor-v-pogone-za-telegram-zablokiroval-revizor-.html

 
? Stan
18.04.2018
09:33:25
Повесить профиль на нестандартный порт, если это публичный сервис.
находят влёт и начинают долбиться жи

 
Даниил
18.04.2018
09:33:27
сильно....

 
Nikolay
18.04.2018
09:33:46
вголосяндрий

 
Антон
18.04.2018
09:33:54
какое же позорище

 
? Stan
18.04.2018
09:33:56
а чёт у меня наг не открывается.

 
а, открылся

 
Даниил
18.04.2018
09:34:06
просто не только руки отстрелили

 
а и ноги...

 
Alexey
18.04.2018
09:34:17
а чёт у меня наг не открывается.
аналогично прочитал новость, источник открыть не смог

 
? Stan
18.04.2018
09:35:04
а вот кстати, если оператор не хочет перезагружать...

 
Виталий
18.04.2018
09:38:20
да хрена там - ничего не виснет и блочит прекрасно - это просто утка

 
ipset

 
Alexey
18.04.2018
09:38:35
да хрена там - ничего не виснет и блочит прекрасно - это просто утка
https://novostel.ru/2018/04/18/роскомнадзор-в-погоне-за-telegram-заблокиров/

 
тут вроде норм открылось

 
AbdulAziz
18.04.2018
09:42:30
Люди

 
подскажите

 
<extension name="from-elcat"> <condition field="destination_number" expression="^(0312986289)$"> <action application="bridge" data="user/2222@$${domain}"/> <action application="hangup"/> </condition> </extension> при такой настройке в лоха вот это 2018-04-18 09:34:17.494276 [ERR] mod_dptools.c:4218 No dial-string available, please check your user directory. 2018-04-18 09:34:17.494276 [NOTICE] switch_ivr_originate.c:2851 Cannot create outgoing channel of type [user] cause: [MANDATORY_IE_MISSING]

 
я где то должен прописать входящую маршрутизацию для своего внутреннего номера?

 
Виталий
18.04.2018
09:43:49
эта хрень что на рисунке в статье - устройство что ставится в сети прова и проверяет доступность по списку

 
всю инфу что проверять она получает из-вне. возможно выслали большую пачку и оно не проглотило - подавилось )

 
как раз такая и стоит у нас и палит если не блочим чтото (

 
Alexey
18.04.2018
09:46:02
как раз такая и стоит у нас и палит если не блочим чтото (
https://habrahabr.ru/post/282087/ про нее же как раз?

Страница 285 из 430