связка tcpdump+iptables для asterisk

1

2

Добрый вечер. На астер ломятся постоянно товарищи с friendly-scanner и т.д. Таких деятелей баню с iptables успешно. Но начали менять User-Agent на набор символов и ессно каждый раз новое агент выцеплять и банить вручную проблемно. Есть ли решение? Понятно, что тут регулярками не обойтись. Но может натолкнете на идею?)) Спасибо!

Ссылка

←	openvpn отправка (push route) клиенту большого количества маршрутов

Бэкап дистрибутива с возможностью последующего восстановления. Gentoo.

→

Я не уверен, но вроде для этого применялся fail2ban, просто по количеству попыток авторизации, без User-Agent.

mky ★★★★★
(26.08.17 22:59:09 MSK)

Ответ на: комментарий от mky 26.08.17 22:59:09 MSK

Не. f2ban он заголовки «не видит». Тут надо что-то на уровне пакетов. Можно конечно дампить постоянно и парсить. Но это не комильфо.

dedulka
(26.08.17 23:04:38 MSK) автор топика

Ответ на: комментарий от dedulka 26.08.17 23:04:38 MSK

Вести журнал безопасности астериск. Анализировать его fail2ban?

petav ★★★★★
(26.08.17 23:33:24 MSK)

Ссылка

я сталкивался с данной проблемой.

нужны iptables + ipset + geoip.

заводишь новый сет, где блокируешь не нужные страны, у меня были заблокированы все кроме Казахстана.

затем в iptables в mangle маркируешь пакеты на 5060 порт и отправляешь их в отдельную цепочку. там одно правило - если адрес находится в сете то дропнуть пакет.

Nurmukh ★★★
(27.08.17 08:55:07 MSK)