Andrei Опубликовано 27 апреля, 2015 · Жалоба Есть аддпак (4 fxs) с белым ip, торчащий в инет. Работает по sip через свой собственный sip-сервер с известным адресом. В последнее время стали надоедать попытки протолкнуть через этот адпак левый трафик (работают боты). В логе видно: AP1000# sh call his al CallNum EventTime Descript CallingPartyNum CalledPartyNum RemoteInfo SetupTime Dur Reason --------------------------------------------------------------------------------------------------------------------------------------------------- < 51> Apr 27 12:45:03 incomming 44 088970599981552 4:199.48.164.99 0 Local:InvalidNumber < 50> Apr 27 12:44:54 incomming 7001 810972595896653 700:198.204.242.106 0 Local:InvalidNumber < 49> Apr 27 12:44:01 incomming 93900441227806181 cisco:98.191.250.42 0 Local:InvalidNumber < 48> Apr 27 12:42:04 incomming 5000000 00810972595896653 500000:198.204.242.106 0 Local:InvalidNumber < 47> Apr 27 12:39:47 incomming 44 055970599981552 4:199.48.164.99 0 Local:InvalidNumber < 46> Apr 27 12:39:10 incomming 5000000 2810972595896653 500000:198.204.242.106 0 Local:InvalidNumber < 45> Apr 27 12:38:56 incomming 404 011442032867919 40:195.154.183.102 0 Local:InvalidNumber Звонки не проходят - это понятно, но хотелось бы избавиться от этого совсем. Казалось бы надо создать acl, разрешающий сигналлинг только от своего сервера, и повесить его на внешний интерфейс. Например так: access-list 30 permit tcp host <ip_sip-сервера> any eq 5060 access-list 30 deny tcp any any eq 5060 access-list 30 permit tcp any any access-list 30 permit udp any any interface ether0.0 ip access 30 in Но не помогает. :( Звонки все равно сыпятся. Неправильный acl? Или просто адрес уже засветился и внесен в списки, которые заряжают ботам, как адрес, на котором стоит sip-устройство? Перенести адпак на серый адрес или закрыть его на стороннем сервере по разным причинам невозможно. Интересует решение именно с acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 27 апреля, 2015 · Жалоба адпаки по-моему и порт h323 слушают по-умолчанию, попробуйте прикрыть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 апреля, 2015 · Жалоба Добавил в Acl еще порт 1720 access-list 30 permit tcp host <ip_sip-сервера> any eq 5060 access-list 30 permit tcp host <ip_sip-сервера> any eq 1720 access-list 30 deny tcp any any eq 5060 access-list 30 deny tcp any any eq 1720 access-list 30 permit tcp any any access-list 30 permit udp any any interface ether0.0 ip access 30 in Но тычки вроде идут по 5060 AP1000# debug voip call AP1000# debug rta ipc AP1000# debug voip sip AP1000# conf Enter configuration commands, one per line. End with CNTL/Z AP1000(config)# deb AP1000(config)# AP1000(config)# 1 <SIP 161> : Transaction Server (1 INVITE) Timeout (retry #4) 2 <SIP 161> : Send 404 Response Sending SIP PDU to ( 199.48.164.99:5076 ) from 5060 SIP/2.0 404 Not Found Via: SIP/2.0/UDP 199.48.164.99:5076;branch=z9hG4bK-619e9810f36870f1f8b25a1c083c7528;rport Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 27 апреля, 2015 · Жалоба Via: SIP/2.0/UDP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 апреля, 2015 · Жалоба SIP clients typically use TCP or UDP on port numbers 5060 and/or 5061 to connect to SIP servers and other SIP endpoints. ОК. Закрыл еще и UDP. Понаблюдаем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 апреля, 2015 · Жалоба В итоге, судя по всему acl должен выглядеть так: access-list 30 permit udp host <ip_sip-сервера> any eq 5060 access-list 30 permit tcp host <ip_sip-сервера> any eq 5060 access-list 30 permit udp host <ip_sip-сервера> any eq 1720 access-list 30 permit tcp host <ip_sip-сервера> any eq 1720 access-list 30 permit tcp host <ip_sip-сервера> any lt 1000 access-list 30 permit udp host <ip_sip-сервера> any lt 1000 access-list 30 deny udp any any eq 5060 access-list 30 deny tcp any any eq 5060 access-list 30 deny udp any any eq 1720 access-list 30 deny tcp any any eq 1720 access-list 30 deny udp any any lt 1000 access-list 30 deny tcp any any lt 1000 access-list 30 permit tcp any any access-list 30 permit udp any any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...