[Andrei]

Есть аддпак (4 fxs) с белым ip, торчащий в инет. Работает по sip через свой собственный sip-сервер с известным адресом.

В последнее время стали надоедать попытки протолкнуть через этот адпак левый трафик (работают боты). В логе видно:

 

AP1000# sh call his al

CallNum EventTime         Descript    CallingPartyNum     CalledPartyNum            RemoteInfo                 SetupTime       Dur  Reason
---------------------------------------------------------------------------------------------------------------------------------------------------
<    51> Apr 27 12:45:03  incomming                 44    088970599981552                  4:199.48.164.99                        0 Local:InvalidNumber         
<    50> Apr 27 12:44:54  incomming               7001    810972595896653                700:198.204.242.106                      0 Local:InvalidNumber         
<    49> Apr 27 12:44:01  incomming                     93900441227806181              cisco:98.191.250.42                        0 Local:InvalidNumber         
<    48> Apr 27 12:42:04  incomming            5000000  00810972595896653             500000:198.204.242.106                      0 Local:InvalidNumber         
<    47> Apr 27 12:39:47  incomming                 44    055970599981552                  4:199.48.164.99                        0 Local:InvalidNumber         
<    46> Apr 27 12:39:10  incomming            5000000   2810972595896653             500000:198.204.242.106                      0 Local:InvalidNumber         
<    45> Apr 27 12:38:56  incomming                404    011442032867919                 40:195.154.183.102                      0 Local:InvalidNumber         

Звонки не проходят - это понятно, но хотелось бы избавиться от этого совсем.

Казалось бы надо создать acl, разрешающий сигналлинг только от своего сервера, и повесить его на внешний интерфейс. Например так:

access-list 30 permit tcp  host  <ip_sip-сервера> any eq  5060
access-list 30 deny   tcp  any any  eq  5060
access-list 30 permit tcp  any any
access-list 30 permit udp  any any
interface ether0.0
ip access 30 in

Но не помогает. :( Звонки все равно сыпятся.

Неправильный acl? Или просто адрес уже засветился и внесен в списки, которые заряжают ботам, как адрес, на котором стоит sip-устройство?

Перенести адпак на серый адрес или закрыть его на стороннем сервере по разным причинам невозможно. Интересует решение именно с acl.

[bos9]

адпаки по-моему и порт h323 слушают по-умолчанию, попробуйте прикрыть.

[Andrei]

Добавил в Acl еще порт 1720

 

access-list 30 permit tcp  host  <ip_sip-сервера> any eq  5060
access-list 30 permit tcp  host  <ip_sip-сервера> any eq  1720
access-list 30 deny   tcp  any any  eq  5060
access-list 30 deny   tcp  any any  eq  1720
access-list 30 permit tcp  any any
access-list 30 permit udp  any any
interface ether0.0
ip access 30 in

 

 

Но тычки вроде идут по 5060

AP1000# debug voip call
AP1000# debug rta ipc
AP1000# debug voip sip
AP1000# conf
 Enter configuration commands, one per line. End with CNTL/Z
AP1000(config)# deb
AP1000(config)#
AP1000(config)# 1       <SIP    161>    : Transaction Server  (1 INVITE) Timeout (retry #4)
2       <SIP    161>    : Send 404 Response

       Sending SIP PDU to ( 199.48.164.99:5076 ) from 5060
SIP/2.0 404 Not Found
Via: SIP/2.0/UDP 199.48.164.99:5076;branch=z9hG4bK-619e9810f36870f1f8b25a1c083c7528;rport

[bos9]

Via: SIP/2.0/UDP

[Andrei]

SIP clients typically use TCP or UDP on port numbers 5060 and/or 5061 to connect to SIP servers and other SIP endpoints.

ОК. Закрыл еще и UDP. Понаблюдаем.

[Andrei]

В итоге, судя по всему acl должен выглядеть так:

access-list 30 permit udp  host  <ip_sip-сервера> any eq  5060
access-list 30 permit tcp  host  <ip_sip-сервера> any eq  5060
access-list 30 permit udp  host  <ip_sip-сервера> any eq  1720
access-list 30 permit tcp  host  <ip_sip-сервера> any eq  1720
access-list 30 permit tcp  host  <ip_sip-сервера> any lt 1000
access-list 30 permit udp  host  <ip_sip-сервера> any lt 1000
access-list 30 deny   udp  any any  eq  5060
access-list 30 deny   tcp  any any  eq  5060
access-list 30 deny   udp  any any  eq  1720
access-list 30 deny   tcp  any any  eq  1720
access-list 30 deny   udp  any any  lt 1000
access-list 30 deny   tcp  any any  lt 1000
access-list 30 permit tcp  any any
access-list 30 permit udp  any any