паразитный проброс

0

1

привет! несколько дней назад произошла странная вещь, так у меня провайдер Ростелеком, адрес серый 10.х.х.х . Внезапно посыпался снаружи трафик udp на сиповский 5060 порт, увидел в логе подбор паролей и т.п.. В сип заголовках было destination что-то типа <100@46.242.X.X> (с этим адресом я выхожу из-за ната)

Внимание вопрос, как такое могло случится, почему провайдер вдруг стал пробрасывать снаружи на мой серый адрес запросы?

Ссылка

←	Что делает connection mark?

openVPN непобедимый.

→

SIP не натится из коробки, как и пр p2p протоколы, на натах ставится специальный транслятор, который процессит подобные вещи.

Далее читаем про nf_nat_sip, да и вообще всю линейку nf_nat_*

sparks ★★★★
(06.11.18 14:22:40 MSK)

Ответ на: комментарий от sparks 06.11.18 14:22:40 MSK

SIP не натится из коробки

ну да, я и сам удивился. собственно поэтому и спросил, как вышло что Ростелеком стал мне пробрасывать sip

victorb ★★
(06.11.18 14:44:22 MSK) автор топика

Ссылка

Ответ на: комментарий от sparks 06.11.18 14:22:40 MSK

то есть на нате роутера такой же транслятор?

~~darkenshvein~~ ★★★★★
(06.11.18 14:45:49 MSK)

Ответ на: комментарий от darkenshvein 06.11.18 14:45:49 MSK

то есть на нате роутера такой же транслятор?

не понял вопрос, у меня на серваке подкроватном, внешний адрес 10.X.X.X и астериск А пакеты начали сыпаться из инета с разных адресов а вот как у Ростелекома нат настроен, как раз хотел бы понять

victorb ★★
(06.11.18 14:58:12 MSK) автор топика

Ответ на: комментарий от victorb 06.11.18 14:58:12 MSK

так то у меня было с давних времен настроено исходящее подключение по sip к Зебре.ру, не удалено, но я им и не пользовался.

Вот интересно, если бы я был в какой то момент единственным пользователем за этим внешним ip, могло ли случится что ростелеком сделал проброс один в один с внешнего 5060 на мой 10.Х.Х.Х на порт 5060 ? вроде, циски так делают...?

victorb ★★
(06.11.18 15:11:41 MSK) автор топика

Ссылка

Ответ на: комментарий от darkenshvein 06.11.18 14:45:49 MSK

Именно так

sparks ★★★★
(06.11.18 15:21:43 MSK)

Ссылка

Если вы подключены по ethernet, может этот трафик генерит ваш сосед? Вы сами пробовали снаружи отправлять пакеты на этот 46.242.X.X порт 5060?

mky ★★★★★
(06.11.18 18:18:35 MSK)

В небо. А не вы ли инициатор этого «безобразия»? tcpdump смотрели ?

anc ★★★★★
(06.11.18 18:56:57 MSK)

Ответ на: комментарий от mky 06.11.18 18:18:35 MSK

Если вы подключены по ethernet, может этот трафик генерит ваш сосед? Вы сами пробовали снаружи отправлять пакеты на этот 46.242.X.X порт 5060?

К сожалению, в тот раз не пробовал. позже сервак перезагрузил и эффект пропал. Но трафика соседей никогда не вижу, видимо, изоляция

victorb ★★
(07.11.18 16:28:13 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 06.11.18 18:56:57 MSK

А не вы ли инициатор этого «безобразия»? tcpdump смотрели ?

tcpdump смотрел, весь трафик был на внешнем интерфейсе. к сожалению не посмотрел тогда ethenet заголовки

Вроде торрент-клиенты умеют «попросить» сделать им проброс. может быть здесь тот же эффект был?

victorb ★★
(07.11.18 16:29:56 MSK) автор топика
Последнее исправление: victorb 07.11.18 16:30:41 MSK (всего исправлений: 2)

Ответ на: комментарий от victorb 07.11.18 16:29:56 MSK

не, проверил утилитками с http://miniupnp.free.fr/files/

провайдер по запросу не делает проброс..

victorb ★★
(07.11.18 17:09:35 MSK) автор топика

Ссылка

Ответ на: комментарий от victorb 07.11.18 16:29:56 MSK

Вроде торрент-клиенты умеют «попросить» сделать им проброс. может быть здесь тот же эффект был?

Я именно про stun и намекал.

anc ★★★★★
(07.11.18 19:19:16 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Что делает connection mark?

Admin

openVPN непобедимый.

→

Похожие темы