chan_sip.c:18953 handle_request_invite: Sending fake auth rejection for device <sip:192.168.5.1>
как такое возможно?
все необходимые меры и рекомендации с тематических ресурсах проделал.
и порт заблокировал в файрволе, как у них получается?
и самое интересно подбирают с подменой локального адреса.
Здравствуйте,
на сервере кто-то из админов давно давно поднимал сквид, опенвпн но так как это все не используется, хотелось бы эти демоны вырубить. удалять пока нет необходимости, может буду использовать в неопределенном будущем. Как их можно отключить? чтобы не запускались при старте системы.
Здравствуйте,
вот из этой темы, как за основу я взял решение по распределению скорости на shaper'e tc, ограничение скорости (комментарий)
немного его дополнил
#!/bin/sh
wan=eth0
lan=eth1
tc=`which tc`
IPT="/sbin/iptables -t mangle"
$tc qdisc del dev $lan root >& /dev/null
$tc qdisc add dev $lan root handle 1: htb default 1
$tc class add dev $lan parent 1: classid 1:1 htb rate 80mbit
$tc class add dev $lan parent 1:1 classid 1:2 htb rate 1kbit
$tc class add dev $lan parent 1:1 classid 1:3 htb rate 1024kbit
$tc class add dev $lan parent 1:1 classid 1:4 htb rate 4072kbit
$tc class add dev $lan parent 1:1 classid 1:5 htb rate 10072kbit
$tc class add dev $lan parent 1:1 classid 1:6 htb rate 31072kbit
$tc filter add dev $lan parent 1:0 protocol ip handle 1 fw flowid 1:2
$tc filter add dev $lan parent 1:0 protocol ip handle 2 fw flowid 1:3
$tc filter add dev $lan parent 1:0 protocol ip handle 3 fw flowid 1:4
$tc filter add dev $lan parent 1:0 protocol ip handle 4 fw flowid 1:5
$tc filter add dev $lan parent 1:0 protocol ip handle 5 fw flowid 1:6
$IPT -F
$IPT -A OUTPUT -o $lan -d 192.168.0.0/24 -p tcp --sport 8080 -j MARK --set-mark 1
# Мой айпи адрес
$IPT -A FORWARD -i $wan -o $lan -m iprange --dst-range 192.168.1.2-192.168.1.2 -j MARK --set-mark 6
# Тех. отдел
$IPT -A FORWARD -i $wan -o $lan -m iprange --dst-range 192.168.1.10-192.168.1.20 -j MARK --set-mark 4
# Бухгалтерия
$IPT -A FORWARD -i $wan -o $lan -m iprange --dst-range 192.168.1.40-192.168.1.50 -j MARK --set-mark 5
# Руководство
$IPT -A FORWARD -i $wan -o $lan -m iprange --dst-range 192.168.1.60-192.168.1.70 -j MARK --set-mark 6
Работает, только с большими тормозами. Чувствуется даже на моем IP адресе как медленно загружаются страницы, а иногда и вовсе сервер не найден.
Подскажите пожалуйста, что я не так сделал?
Здравствуйте,
С переборами паролей, флудам и проч пакастью вроде как разобрался.
Теперь в консоле у меня периодически выходят предупреждения:
[Nov 9 19:49:30] WARNING[8568]: app_dial.c:1547 dial_exec_full: Unable to create channel of type 'SIP' (cause 20 - Unknown)
[Nov 9 19:46:45] WARNING[6774]: chan_dahdi.c:10657 pri_fixup_principle: Call specified, but not found?
[Nov 9 19:46:45] WARNING[6774]: chan_dahdi.c:11799 pri_dchannel: Hangup on bad channel 0/11 on span 2
[Nov 9 19:46:49] WARNING[6774]: chan_dahdi.c:10657 pri_fixup_principle: Call specified, but not found?
[Nov 9 19:46:49] WARNING[6774]: chan_dahdi.c:11799 pri_dchannel: Hangup on bad channel 0/11 on span 2
[Nov 9 19:50:39] WARNING[8578]: app_dial.c:1547 dial_exec_full: Unable to create channel of type 'SIP' (cause 20 - Unknown)
[Nov 9 19:25:51] NOTICE[8200]: rtp.c:1797 ast_rtp_read: Unknown RTP codec 126 received from '192.168.3.26'
fedora*CLI> sip show peers
Name/username Host Dyn Nat ACL Port Status
000/000 192.168.3.147 D N 5060 OK (29 ms)
001/001 192.168.3.30 D N 5060 OK (9 ms)
003/003 192.168.3.30 D 5062 OK (10 ms)
1000/1000 192.168.3.8 D N 5090 OK (9 ms)
10000 (Unspecified) D N 5060 UNKNOWN
1001/1001 192.168.3.21 D N 5104 OK (9 ms)
10101/10101 192.168.3.2 D N 5072 OK (9 ms)
10102 (Unspecified) D N 5060 UNKNOWN
10103 (Unspecified) D N 5060 UNKNOWN
10104/10104 192.168.3.2 D N 5066 OK (9 ms)
10105 (Unspecified) D N 5060 UNKNOWN
10106/10106 192.168.3.35 D N 5060 OK (9 ms)
10107/10107 192.168.3.2 D N 5094 OK (9 ms)
10108/10108 192.168.3.35 D N 5062 OK (9 ms)
10109/10109 192.168.3.35 D N 5070 OK (9 ms)
10110/10110 192.168.3.2 D N 5078 OK (9 ms)
10111 (Unspecified) D N 5060 UNKNOWN
10112/10112 192.168.3.2 D N 5090 OK (9 ms)
10113/10113 192.168.3.2 D N 5084 OK (9 ms)
10114/10114 192.168.3.2 D 5086 OK (9 ms)
10115/10115 192.168.3.2 D N 5068 OK (9 ms)
10116/10116 192.168.3.2 D N 5106 OK (9 ms)
10117/10117 192.168.3.2 D N 5088 OK (16 ms)
10118 (Unspecified) D N 5060 UNKNOWN
10119 (Unspecified) D N 5060 UNKNOWN
10120 (Unspecified) D N 5060 UNKNOWN
10121/10121 192.168.3.2 D N 5064 OK (9 ms)
10122 (Unspecified) D N 5060 UNKNOWN
что значит Unspecified, почему задействованы порты 5064, 5106 и т. д.
ведь астериск работает на порту 5060? правильно же.
вот, еще периодически выскакивает и это кстати уже давно.
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:30] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
[Nov 9 19:58:31] WARNING[8663]: chan_sip.c:5791 sip_write: Asked to transmit frame type 64, while native formats is 0x8 (alaw)(8) read/write = 0x8 (alaw)(8)/0x8 (alaw)(8)
Помогите люди добрый. всем спасибо.
Всю ночь читал туториал по иптаблес уже голова не варит.
Задача 1. мне необходимо закрыть 80 порт снаружи и открыть для 15 подсети 80 порт изнутри.
$IPT -A INPUT -i $WAN_ADAPTER -p tcp --dport 80 -j DROP
открываю
$IPT -A OUTPUT -o $WAN_ADAPTER -p tcp -m tcp -s $15NET --dport 80 -j ACCEPT
Это правильно с точи зрения логики? На тестовом сервере вроде как работает.
Здравствуйте
мне необходимо из внутреней сети открыть доступ к серверу по ssh, а извне закрыть. я создаю следующее правила.
LAN_ADAPTER=eth1
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -A OUTPUT -i $LAN_ADAPTER -p tcp --dport 22 -j ACCEPT
Это правильно с точки зрения логики? Сам просто только только изучаю.
Спасибо за ваши ответы.
Здравствуйте,
почитал в инете и теперь не могу понять,
Имеет ли значение расположение команд иптаблес?
если я поставлю дроп в инпут:
iptables -P INPUT DROP
а далее
открою 22 порт
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
или необходимо сначало прописать свои разрешающие правила, а уже потом все дропать?
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
правила 2
правила 3
и т.д
а потом
iptables -P INPUT DROP
Здравствуйте
Не получается установить file2ban выдает ошибку
[root@fedora]# yum install fail2ban
Loaded plugins: fastestmirror, refresh-packagekit
Loading mirror speeds from cached hostfile
Could not retrieve mirrorlist http://mirrors.fedoraproject.org/mirrorlist?repo=fedora-10&arch=x86_64 error was
[Errno 4] IOError: <urlopen error (-3, 'Temporary failure in name resolution')>
Error: Cannot find a valid baseurl for repo: fedora
помогите пожалуйста
Доброй ночи
решил в инете посидеть и собрать правила и вот что получилась
#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
IPT=/sbin/iptables
# Локальная сеть:
USERNET=192.168.1.0/24
# Наш внешний IP адрес (выданный провайдером):
INETIP=123
# Внутренний IP адрес:
LANIP=192.168.1.1
# Адаптер подключенный к локальной сети:
LAN_ADAPTER=eth1
# Адаптер подключенный к Интернету:
WAN_ADAPTER=eth0
/sbin/modprobe nf_conntrack_sip
/sbin/modprobe nf_nat_sip
# Сбрасываю старые правила:
$IPT -F
$IPT -t nat -F
# Открываю ssh
$IPT -A INPUT –m state --state NEW –m tcp –p tcp –dport 22 –j ACCEPT
# Данное правило разрывает TCP-соединение с отправкой RST-пакета, если первым пакетом в этом соединении был SYN-ACK.
# Подобное поведение файрвола не позволит злоумышленникам использовать IP-адрес хоста в атаках с использованием IP спуфинга.
$IPT -A INPUT -p tcp -m state --state NEW --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
# Сбрасываю первый пакет TCP-соединения, если он не является SYN-пакетом.
$IPT -A INPUT -p tcp -m state --state NEW ! --syn -j DROP
# Защищаемся от SYN атак
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN SYN \
-i $WAN_ADAPTER -m state --state NEW -m limit --limit 30/second --limit-burst 30 -j RETURN
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN SYN \
-i $WAN_ADAPTER -m state --state NEW -j DROP
# Разрешаю уже установленные соединения
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Сбрасываю пакеты в состоянии INVALID
$IPT -A INPUT -m state --state INVALID -j DROP
# Открываю доступ в интернет для рабочей подсети
$IPT -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
# Закрываю порты NETBIOS
$IPT -A INPUT -p tcp --destination-port 445 -j DROP
$IPT -A INPUT -p tcp --destination-port 135 -j DROP
$IPT -A INPUT -p udp -m multiport --ports 135,136,137,138,139 -j DROP
$IPT -A INPUT -p tcp -m multiport --ports 135,136,137,138,139 -j DROP
$IPT -A FORWARD -p udp -m multiport --ports 135,136,137,138,139,445 -j DROP
$IPT -A FORWARD -p tcp -m multiport --ports 135,136,137,138,139,445 -j DROP
# Блокирую входящие пакеты с локальными IP адресами
$IPT -A INPUT -p tcp -i $WAN_ADAPTER -s $USERNET -j DROP
# Блокируею входящие пакеты c нелокальными IP на внутреннем интерфейсе
$IPT -A INPUT -p tcp -i $LAN_ADAPTER -s ! $USERNET -j DROP
и тут не задача, после инициализации правил баш выдает мне ошибку
bad argument '-m'
подскажите где же тут ошибка? спасибо
Добрые люди,
кто сможет мне помочь за деньги.
необходимо восстановить астериск после взлома, избавится от дозвонов и флуда. Сам я пробовал, но моих знаний оказалось не достаточно.
Необходимую информацию по требованию предоставлю.
Здравствуйте,
Имею роутер и на нем же настроен астериск, как правильно настроить правил в этом случаи, чтобы и астериск был нормально защищен и что бы пользователи получали открытый интернет.
Сам в линуксе я не профессионал и надеюсь на вашу поддержку. Спасибо
Здравствуйте,
добавляю правила:
iptables -A INPUT -p tcp -m state --state NEW! --syn -j DROPа после инициализации правил
sh rc.firewalliptables v1.4.3.2: Bad state "NEW!"
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.3.2: invalid port/service `10000-20000' specified
Try `iptables -h' or 'iptables --help' for more information.Как можно решить эту проблему?
Спасибо