forum.opennet.ru

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

'Зависание' регистрации SIP-фонов через iptables, jimmhockins (ok), 04-Июл-16, (0) [смотреть все]

Все же черным по белому Все, что после правила 9 - бесполезно, а значит 10, 11, , keir (ok), 21:09 , 04-Июл-16, (1) //

Спасибо Помогло Я это правило вообще не приметил Впредь буду внимательнее , jimmhockins (ok), 11:02 , 05-Июл-16, (2) //

Правило 9 должно быть последним в таблице В данном случае его цель залогировать, keir (ok), 11:04 , 05-Июл-16, (3) //

да, спасибо уже переместил и проверил логи пришлось сымитировать, потому что , jimmhockins (ok), 11:09 , 05-Июл-16, (4)

если наружу - рекомендую посмотреть еще и на http linux mixed-spb ru asterisk , AS (??), 14:52 , 07-Июл-16, (5)

gt оверквотинг удален как раз доковыриваю пока время есть про китайцев звоня, jimmhockins (ok), 16:38 , 07-Июл-16, (6)

ну и уж еще тогда http ari asterisk org я вон интеграционную щину попинать - т, AS (??), 20:41 , 07-Июл-16, (7)

По поводу выпуска наружу fail2ban и прочее это конечно хорошо, но этой борьбы с , keir (ok), 14:41 , 08-Июл-16, (8)

ну я собственно так и хотел сделать - пробросить за нат 5060 для SIP-IP only с к, jimmhockins (ok), 15:14 , 08-Июл-16, (9)

Основная цель смены порта - защитить сервис от автоматических сканеров, а они ка, keir (ok), 15:57 , 08-Июл-16, (10)

Сообщения [Сортировка по времени | RSS]

3. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от keir (ok), 05-Июл-16, 11:04

> Спасибо. Помогло. Я это правило вообще не приметил...
> Впредь буду внимательнее :)
Правило 9 должно быть последним в таблице. В данном случае его цель залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) - там должна появляться информация о сброшенных пакетах.

Ответить | Правка | Наверх | Cообщить модератору

4. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от jimmhockins (ok), 05-Июл-16, 11:09

>> Спасибо. Помогло. Я это правило вообще не приметил...
>> Впредь буду внимательнее :)
> Правило 9 должно быть последним в таблице. В данном случае его цель
> залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) -
> там должна появляться информация о сброшенных пакетах.
да, спасибо. уже переместил и проверил логи. пришлось сымитировать, потому что "атак"
пока нет))) жду решения по выбору сип-оператора и тогда уже буду наружу выпускать.

Ответить | Правка | Наверх | Cообщить модератору

5. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от AS (??), 07-Июл-16, 14:52

>>> Спасибо. Помогло. Я это правило вообще не приметил...
>>> Впредь буду внимательнее :)
>> Правило 9 должно быть последним в таблице. В данном случае его цель
>> залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) -
>> там должна появляться информация о сброшенных пакетах.
> да, спасибо. уже переместил и проверил логи. пришлось сымитировать, потому что
> "атак"
> пока нет))) жду решения по выбору сип-оператора и тогда уже буду наружу
> выпускать.
если наружу - рекомендую посмотреть еще и на http://linux.mixed-spb.ru/asterisk/fail2ban_setup.php
без него реально ж*па

Ответить | Правка | Наверх | Cообщить модератору

6. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от jimmhockins (ok), 07-Июл-16, 16:38

>[оверквотинг удален]
>>>> Впредь буду внимательнее :)
>>> Правило 9 должно быть последним в таблице. В данном случае его цель
>>> залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) -
>>> там должна появляться информация о сброшенных пакетах.
>> да, спасибо. уже переместил и проверил логи. пришлось сымитировать, потому что
>> "атак"
>> пока нет))) жду решения по выбору сип-оператора и тогда уже буду наружу
>> выпускать.
> если наружу - рекомендую посмотреть еще и на http://linux.mixed-spb.ru/asterisk/fail2ban_setup.php
> без него реально ж*па
как раз доковыриваю пока время есть.. про китайцев звонящих на кубу наслышан :)

Ответить | Правка | Наверх | Cообщить модератору

7. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от AS (??), 07-Июл-16, 20:41

> как раз доковыриваю пока время есть.. про китайцев звонящих на кубу наслышан
> :)
ну и уж еще тогда http://ari.asterisk.org/
я вон интеграционную щину попинать -
там потом из всяких скриптов можно очень просто делать,
чтоб Астер тебе проговаривал, что не так curl -X POST .... и всего
делов-то параметры туда передать....

Ответить | Правка | Наверх | Cообщить модератору

8. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от keir (ok), 08-Июл-16, 14:41

По поводу выпуска наружу:
fail2ban и прочее это конечно хорошо, но этой борьбы с последствиями сканов и переборов можно избежать - для оператора 5060 вывешивается наружу только для операторского ip, а для внешних клиентов используется альтернативный порт. Хоть 50600. На других портах астериск никто не ищет.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от jimmhockins (ok), 08-Июл-16, 15:14

> По поводу выпуска наружу:
> fail2ban и прочее это конечно хорошо, но этой борьбы с последствиями сканов
> и переборов можно избежать - для оператора 5060 вывешивается наружу только
> для операторского ip, а для внешних клиентов используется альтернативный порт. Хоть
> 50600. На других портах астериск никто не ищет.
ну я собственно так и хотел сделать - пробросить за нат 5060 для SIP-IP only(с конкретными айпи операторов их будет 2).. но.. порт стопицот тыщ триста сорок затертый я то могу выделить и пробросить для входящих пиров. поможет ли это от портсканнеров? т.е. есть ли смысл вообще с этим заморачиваться если мало-мальски опытный админ просто отсканит весь диапазон и найдет открытый на вход порт for all?

Ответить | Правка | Наверх | Cообщить модератору

10. "'Зависание' регистрации SIP-фонов через iptables" +/–

Сообщение от keir (ok), 08-Июл-16, 15:57

> ну я собственно так и хотел сделать - пробросить за нат 5060
> для SIP-IP only(с конкретными айпи операторов их будет 2).. но.. порт
> стопицот тыщ триста сорок затертый я то могу выделить и пробросить
> для входящих пиров. поможет ли это от портсканнеров? т.е. есть ли
> смысл вообще с этим заморачиваться если мало-мальски опытный админ просто отсканит
> весь диапазон и найдет открытый на вход порт for all?
Основная цель смены порта - защитить сервис от автоматических сканеров, а они как раз ходят по стандартным портам, пытаются подобрать известные уязвимости/перебрать пароли и лишний раз расходуют ресурсы сервера.
Ясное дело, что если сервер станет целью человека, то смена порта не сильно спасет.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	3. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от keir (ok), 05-Июл-16, 11:04
	> Спасибо. Помогло. Я это правило вообще не приметил... > Впредь буду внимательнее :) Правило 9 должно быть последним в таблице. В данном случае его цель залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) - там должна появляться информация о сброшенных пакетах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от jimmhockins (ok), 05-Июл-16, 11:09
	>> Спасибо. Помогло. Я это правило вообще не приметил... >> Впредь буду внимательнее :) > Правило 9 должно быть последним в таблице. В данном случае его цель > залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) - > там должна появляться информация о сброшенных пакетах. да, спасибо. уже переместил и проверил логи. пришлось сымитировать, потому что "атак" пока нет))) жду решения по выбору сип-оператора и тогда уже буду наружу выпускать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от AS (??), 07-Июл-16, 14:52
	>>> Спасибо. Помогло. Я это правило вообще не приметил... >>> Впредь буду внимательнее :) >> Правило 9 должно быть последним в таблице. В данном случае его цель >> залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) - >> там должна появляться информация о сброшенных пакетах. > да, спасибо. уже переместил и проверил логи. пришлось сымитировать, потому что > "атак" > пока нет))) жду решения по выбору сип-оператора и тогда уже буду наружу > выпускать. если наружу - рекомендую посмотреть еще и на http://linux.mixed-spb.ru/asterisk/fail2ban_setup.php без него реально ж*па
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от jimmhockins (ok), 07-Июл-16, 16:38
	>[оверквотинг удален] >>>> Впредь буду внимательнее :) >>> Правило 9 должно быть последним в таблице. В данном случае его цель >>> залогировать неразрешенное обращение и дропнуть пакет. Посмотрите в логи (syslog) - >>> там должна появляться информация о сброшенных пакетах. >> да, спасибо. уже переместил и проверил логи. пришлось сымитировать, потому что >> "атак" >> пока нет))) жду решения по выбору сип-оператора и тогда уже буду наружу >> выпускать. > если наружу - рекомендую посмотреть еще и на http://linux.mixed-spb.ru/asterisk/fail2ban_setup.php > без него реально ж*па как раз доковыриваю пока время есть.. про китайцев звонящих на кубу наслышан :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от AS (??), 07-Июл-16, 20:41
	> как раз доковыриваю пока время есть.. про китайцев звонящих на кубу наслышан > :) ну и уж еще тогда http://ari.asterisk.org/ я вон интеграционную щину попинать - там потом из всяких скриптов можно очень просто делать, чтоб Астер тебе проговаривал, что не так curl -X POST .... и всего делов-то параметры туда передать....
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от keir (ok), 08-Июл-16, 14:41
	По поводу выпуска наружу: fail2ban и прочее это конечно хорошо, но этой борьбы с последствиями сканов и переборов можно избежать - для оператора 5060 вывешивается наружу только для операторского ip, а для внешних клиентов используется альтернативный порт. Хоть 50600. На других портах астериск никто не ищет.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	9. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от jimmhockins (ok), 08-Июл-16, 15:14
	> По поводу выпуска наружу: > fail2ban и прочее это конечно хорошо, но этой борьбы с последствиями сканов > и переборов можно избежать - для оператора 5060 вывешивается наружу только > для операторского ip, а для внешних клиентов используется альтернативный порт. Хоть > 50600. На других портах астериск никто не ищет. ну я собственно так и хотел сделать - пробросить за нат 5060 для SIP-IP only(с конкретными айпи операторов их будет 2).. но.. порт стопицот тыщ триста сорок затертый я то могу выделить и пробросить для входящих пиров. поможет ли это от портсканнеров? т.е. есть ли смысл вообще с этим заморачиваться если мало-мальски опытный админ просто отсканит весь диапазон и найдет открытый на вход порт for all?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "'Зависание' регистрации SIP-фонов через iptables"	+/–
	Сообщение от keir (ok), 08-Июл-16, 15:57
	> ну я собственно так и хотел сделать - пробросить за нат 5060 > для SIP-IP only(с конкретными айпи операторов их будет 2).. но.. порт > стопицот тыщ триста сорок затертый я то могу выделить и пробросить > для входящих пиров. поможет ли это от портсканнеров? т.е. есть ли > смысл вообще с этим заморачиваться если мало-мальски опытный админ просто отсканит > весь диапазон и найдет открытый на вход порт for all? Основная цель смены порта - защитить сервис от автоматических сканеров, а они как раз ходят по стандартным портам, пытаются подобрать известные уязвимости/перебрать пароли и лишний раз расходуют ресурсы сервера. Ясное дело, что если сервер станет целью человека, то смена порта не сильно спасет.
	Ответить \| Правка \| Наверх \| Cообщить модератору