Безопасность asterisk OpenWRT iptables

[westphil]

Здравствуйте, уважаемые гуру,

Есть свежеустановленный Asterisk11 на OpenWRT BB, всё работает, звонки ходят, голос за натом слышен во всех направлениях - короче красота.
Но! Заметил я с некоторых пор назойливые попытки левых пиплов подключиться к моей звездочке! а именно примерно так:

Dec 7 14:27:19] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"6506" <sip:6506@192.168.0.150:5060>' failed for '207.244.86.78:5069' - Wrong password
[Dec 7 14:27:20] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"3011" <sip:3011@192.168.0.150:5060>' failed for '207.244.86.78:5060' - Wrong password
[Dec 7 14:27:26] NOTICE[1429]: chan_sip.c:23554 handle_response_peerpoke: Peer '6001' is now Lagged. (2015ms / 2000ms)
[Dec 7 14:27:31] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"521" <sip:521@192.168.0.150:5060>' failed for '207.244.86.78:5081' - Wrong password
[Dec 7 14:27:32] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"86" <sip:86@192.168.0.150:5060>' failed for '207.244.86.78:5084' - Wrong password
[Dec 7 14:27:33] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"9461" <sip:9461@192.168.0.150:5060>' failed for '207.244.86.78:5089' - Wrong password
[Dec 7 14:27:34] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"5" <sip:5@192.168.0.150:5060>' failed for '93.115.28.176:5070' - Wrong password
[Dec 7 14:27:36] NOTICE[1429]: chan_sip.c:28059 handle_request_register: Registration from '"8340" <sip:8340@192.168.0.150:5060>' failed for '207.244.86.78:5080' - Wrong password
OpenWrt*CLI>

И как бы это еще полбеды - ломятся себе и ломятся... Но дело в том что иногда случается что вот эти попытки происходят не раз в 15-20 секунд как обычно, а сразу раз 30-50 в секунду. Выглядит это интересно - раз, - и весь экран в сообщениях.

Вероятно слабоват проц роутера, потому что процесс Астериска при этом не справляется и просто отваливается.

Попробовал копать в направлении fail2ban - оказалось что для OpenWRT он не существует..

попробовал копать iptables с модулем hashlimit (вычитал из этой статьи https://habrahabr.ru/post/88461/), рыл вот эти правила:

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT


заменял по аналогии порт (22 на 5060), тип протокола с tcp на udp, таблицу INPUT на FORWARD, название файла с SSH на SIP, и все это в разных сочетаниях, наблюдал за этим файлом в каталоге /proc/net/ipt_hashlimit - ничего не получается.. файл создается, но его длина всегда равна нулю, т.е. в него никогда ничего не дописывается...

Астериск у меня крутится не на входящем роутере, а на просто отдельно стоящем в сети узле- TL-WR1043nd, никаких функций роутера он не выполняет, активен только один интерфейс br-lan (eth0.1).

Годспода, поскажите как мне закрыть эту проблему?

С уважением,
Дмитрий,
нуб.

[awsswa]

Открыть порт только для своего User-Agent

[westphil]

А как это можно сделать средствами iptables?

Средствами Астериска это делать бесполезно - большое количество запросов в секунду его обрушивает. Надо чтобы левые запросы на подключение вообще не доходили до астериска.

[ded]

https://www.google.com/search?client=fi ... user+agent

[westphil]

Слышь, дед, а посерьезней что-нибудь отписать по существу а? Ты думаешь что круто выглядишь, посылая в сторону гугла?
Не можешь по сути - не вякай вообще.

[ded]

Мы не на ты.
Вам предлагаю откорректировать своё последнее сообщение, иначе - попрощаемся.
По первой же ссылке из линка на Goggle сверху - готовый рецепт:
iptables -I INPUT -j DROP -p udp --dport 5060 -m string --string "zoiper" --algo bm
но нуб Дмитрий уважает всех для виду только в первом сообщении.

[westphil]

Да мы и не будем никогда на ты. не терплю людей с зашкаливающим снобизмом и самомнением.

[april22]

Господа! Рекомендую, настоятельно, принести извинения, или перечитать заново условия с которыми Вы соглашались при регистрации на ЭТОМ ФОРУМЕ!
PS волшебный порошок, раздают в разделе "Бизнес"

[virus_net]

Мда... культура так и прёт... Единственный ущербный тут это вы, т.к. именно опустили до оскорблений. И вам всего наилучшего.