asterisk.ru

Добрый день.
С началом известных событий сильно возросло количество атак.
В принципе file2ban вполне успешно отбивается, но прилетающие на почту уведомления в большом количестве в течение дня раздражают глаз.
Часть особо настойчивых заблокировали по user agent сразу на входе правилами типа:
iptables -I INPUT 4 -p udp -m udp --dport 5060 -m string --string "имя" --algo bm --to 65535 -j DROP
правда сделать это можно только с такими, которые крайне редко встречаются. Если стоит какой-нибудь 3CX, то уже все...
Порывшись еще в sip-сообщениях, заметила, что в основном ip-меняется только внешний, внутренний если и меняется, то гуляет в пределах одной подсети.
Вот например:
Contact URI: sip:360@10.4.0.179:64924
User-Agent: FPBX-15.0.17.55(16.12.0)

Contact: <sip:178@10.4.0.94:63904
User-Agent: FPBX-15.0.17.55(16.12.0)

Я, к сожалению, не гуру iptables. По сему вопрос, можно там правило прописать вида: если пакет содержит строку, походящую под шаблон "sip:ХХХ@10.4.0.", то заблокировать.
Понимаю, что это игра в кошки-мышки, но, блин, бесит.....

Нужно соорудить это правило в регулярных выражениях
https://habr.com/ru/post/545150/
и добавить его в file2ban

Или радикально, перейти на white list rule: с определённых подсетей и адресов принимаем, остальное - в DROP.

огроменное спасибо. обязательно поразбираюсь

ded писал(а):Нужно соорудить это правило в регулярных выражениях
https://habr.com/ru/post/545150/
и добавить его в file2ban

Или радикально, перейти на white list rule: с определённых подсетей и адресов принимаем, остальное - в DROP.

Можно начать с добавления RU-сеток в whilte-list ipset: https://www.iwik.org/ipcountry/ipset/RU

Это отсечет примерно 99% жуликов

Может просто white-list-RU на основе Автономных систем (AS)? Будет просто компактней.

Так это он и есть, на основе https://ftp.ripe.net/ripe/stats/delegat ... ncc-latest