А ничего не помогает больше, на всех уровнях. Ни полный запрет на весь трафик, кроме админского с конкретного IP, ни ebtables / ebtables, ни modprobe с netfilter, ни сброс всех соединений с полным выключением всех интерфесов на время, ни выключение Астериск. Анализ dump через wireshark, а также анализ логов firewall показал, что я нарвался на изощренного хакера, который использует сотни IP, прокси, сотни макадресов, частота и паттерны запросов постоянно меняются. Запросы минуют все возможные самые жесткие запреты на всех уровнях файерволлов, минуют Nat и инжектируются сразу в ядро Ubuntu, видимо из-за особенностей инфраструктуры reg.ru.
Если не использовать VPN, придётся пробовать скорее OpenSips, расположенный перед сервером Aster, сервер с OpenSips (с ним проще будет настроить анализ SIP-запросов, который будет пропускать далее в Астер только запросы с верными параметрами), помимо этого этот прокси-сервер будет ещё виртуальным роутером скорее всего, плюс обманки с эмулятором ложных ответов якобы от Астера.
Наверное как-то так пока это видится.
У вас скорее всего default rule на input iptables стоит accept

