Jump to content

ACL на AddPac для сигналлинга

Есть аддпак (4 fxs) с белым ip, торчащий в инет. Работает по sip через свой собственный sip-сервер с известным адресом.

В последнее время стали надоедать попытки протолкнуть через этот адпак левый трафик (работают боты). В логе видно:

 

AP1000# sh call his al

CallNum EventTime         Descript    CallingPartyNum     CalledPartyNum            RemoteInfo                 SetupTime       Dur  Reason
---------------------------------------------------------------------------------------------------------------------------------------------------
<    51> Apr 27 12:45:03  incomming                 44    088970599981552                  4:199.48.164.99                        0 Local:InvalidNumber         
<    50> Apr 27 12:44:54  incomming               7001    810972595896653                700:198.204.242.106                      0 Local:InvalidNumber         
<    49> Apr 27 12:44:01  incomming                     93900441227806181              cisco:98.191.250.42                        0 Local:InvalidNumber         
<    48> Apr 27 12:42:04  incomming            5000000  00810972595896653             500000:198.204.242.106                      0 Local:InvalidNumber         
<    47> Apr 27 12:39:47  incomming                 44    055970599981552                  4:199.48.164.99                        0 Local:InvalidNumber         
<    46> Apr 27 12:39:10  incomming            5000000   2810972595896653             500000:198.204.242.106                      0 Local:InvalidNumber         
<    45> Apr 27 12:38:56  incomming                404    011442032867919                 40:195.154.183.102                      0 Local:InvalidNumber         

Звонки не проходят - это понятно, но хотелось бы избавиться от этого совсем.

Казалось бы надо создать acl, разрешающий сигналлинг только от своего сервера, и повесить его на внешний интерфейс. Например так:

access-list 30 permit tcp  host  <ip_sip-сервера> any eq  5060
access-list 30 deny   tcp  any any  eq  5060
access-list 30 permit tcp  any any
access-list 30 permit udp  any any
interface ether0.0
ip access 30 in

Но не помогает. :( Звонки все равно сыпятся.

Неправильный acl? Или просто адрес уже засветился и внесен в списки, которые заряжают ботам, как адрес, на котором стоит sip-устройство?

Перенести адпак на серый адрес или закрыть его на стороннем сервере по разным причинам невозможно. Интересует решение именно с acl.

Share this post


Link to post
Share on other sites

Добавил в Acl еще порт 1720

 

access-list 30 permit tcp  host  <ip_sip-сервера> any eq  5060
access-list 30 permit tcp  host  <ip_sip-сервера> any eq  1720
access-list 30 deny   tcp  any any  eq  5060
access-list 30 deny   tcp  any any  eq  1720
access-list 30 permit tcp  any any
access-list 30 permit udp  any any
interface ether0.0
ip access 30 in

 

 

Но тычки вроде идут по 5060

AP1000# debug voip call
AP1000# debug rta ipc
AP1000# debug voip sip
AP1000# conf
 Enter configuration commands, one per line. End with CNTL/Z
AP1000(config)# deb
AP1000(config)#
AP1000(config)# 1       <SIP    161>    : Transaction Server  (1 INVITE) Timeout (retry #4)
2       <SIP    161>    : Send 404 Response

       Sending SIP PDU to ( 199.48.164.99:5076 ) from 5060
SIP/2.0 404 Not Found
Via: SIP/2.0/UDP 199.48.164.99:5076;branch=z9hG4bK-619e9810f36870f1f8b25a1c083c7528;rport

Share this post


Link to post
Share on other sites

В итоге, судя по всему acl должен выглядеть так:

access-list 30 permit udp  host  <ip_sip-сервера> any eq  5060
access-list 30 permit tcp  host  <ip_sip-сервера> any eq  5060
access-list 30 permit udp  host  <ip_sip-сервера> any eq  1720
access-list 30 permit tcp  host  <ip_sip-сервера> any eq  1720
access-list 30 permit tcp  host  <ip_sip-сервера> any lt 1000
access-list 30 permit udp  host  <ip_sip-сервера> any lt 1000
access-list 30 deny   udp  any any  eq  5060
access-list 30 deny   tcp  any any  eq  5060
access-list 30 deny   udp  any any  eq  1720
access-list 30 deny   tcp  any any  eq  1720
access-list 30 deny   udp  any any  lt 1000
access-list 30 deny   tcp  any any  lt 1000
access-list 30 permit tcp  any any
access-list 30 permit udp  any any

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.