[Andrei]

Стоит в у нас в абон.отделе Nateks VoiceCOM 110. Выполняет функции роутера для сетки из 3 компов девушек-операторов + вынос пары телефонных номеров по ip + межгород по ip через наш софтсвич. Шлюз зареган СИПом на нашем же софтсвиче.

Периодически шлюз начинает вести себя странно: с него начинается какой-то поток трафика, который при рассмотрении снифером оказывается вот чем:

sh-2.05b# tshark -i eth2 host 87.226.1xx.xxx
Capturing on eth2
 0.000000 87.226.1xx.xxx -> 75.150.204.113 SIP Status: 404 Not Found
 0.029653 87.226.1xx.xxx -> 49.205.6.10  SIP Status: 404 Not Found
 0.059895 87.226.1xx.xxx -> 54.164.82.53 SIP Status: 404 Not Found
 0.119647 87.226.1xx.xxx -> 74.186.188.110 SIP Status: 404 Not Found
 0.149703 87.226.1xx.xxx -> 49.227.219.107 SIP Status: 404 Not Found
 0.209716 87.226.1xx.xxx -> 120.12.119.127 SIP Status: 404 Not Found
 0.269725 87.226.1xx.xxx -> 12.172.94.91 SIP Status: 404 Not Found
 0.329749 87.226.1xx.xxx -> 30.100.199.171 SIP Status: 404 Not Found
 0.342115 74.186.188.110 -> 87.226.1xx.xxx ICMP Destination unreachable (Port unreachable)
 0.359677 87.226.1xx.xxx -> 11.76.224.184 SIP Status: 404 Not Found
 0.419883 87.226.1xx.xxx -> 125.224.49.25 SIP Status: 404 Not Found
 0.450127 87.226.1xx.xxx -> 124.209.89.206 SIP Status: 404 Not Found
 0.479935 87.226.1xx.xxx -> 84.78.190.137 SIP Status: 404 Not Found
 0.539919 87.226.1xx.xxx -> 60.254.53.144 SIP Status: 404 Not Found
 0.569665 87.226.1xx.xxx -> 41.60.179.68 SIP Status: 404 Not Found
 0.629716 87.226.1xx.xxx -> 78.225.181.236 SIP Status: 404 Not Found
 0.689622 87.226.1xx.xxx -> 4.191.159.198 SIP Status: 404 Not Found
 0.749673 87.226.1xx.xxx -> 120.235.187.228 SIP Status: 404 Not Found
 0.809872 87.226.1xx.xxx -> 68.116.104.249 SIP Status: 404 Not Found
 0.869636 87.226.1xx.xxx -> 34.119.241.70 SIP Status: 404 Not Found
 0.899838 87.226.1xx.xxx -> 8.40.241.89  SIP Status: 404 Not Found
 0.959588 87.226.1xx.xxx -> 119.213.177.196 SIP Status: 404 Not Found
 0.989676 87.226.1xx.xxx -> 53.76.105.127 SIP Status: 404 Not Found
 1.049644 87.226.1xx.xxx -> 15.137.86.55 SIP Status: 404 Not Found
 1.079792 87.226.1xx.xxx -> 7.179.39.131 SIP Status: 404 Not Found
 1.140242 87.226.1xx.xxx -> 54.5.111.46  SIP Status: 404 Not Found
 1.169582 87.226.1xx.xxx -> 82.54.14.114 SIP Status: 404 Not Found
 1.199799 87.226.1xx.xxx -> 33.57.61.238 SIP Status: 404 Not Found
 1.259783 87.226.1xx.xxx -> 65.208.45.132 SIP Status: 404 Not Found
 1.319584 87.226.1xx.xxx -> 89.2.50.234  SIP Status: 404 Not Found
 1.379786 87.226.1xx.xxx -> 92.217.84.44 SIP Status: 404 Not Found
 1.440127 87.226.1xx.xxx -> 56.61.145.28 SIP Status: 404 Not Found
 1.469872 87.226.1xx.xxx -> 120.105.137.255 SIP Status: 404 Not Found
 1.529601 87.226.1xx.xxx -> 75.220.109.61 SIP Status: 404 Not Found
 1.589760 87.226.1xx.xxx -> 121.187.228.39 SIP Status: 404 Not Found
 1.649616 87.226.1xx.xxx -> 58.238.113.60 SIP Status: 404 Not Found
 1.709600 87.226.1xx.xxx -> 11.211.217.16 SIP Status: 404 Not Found
 1.840049 87.226.1xx.xxx -> 103.50.67.41 SIP Status: 404 Not Found
 1.879785 87.226.1xx.xxx -> 71.39.152.65 SIP Status: 404 Not Found
 1.919504 87.226.1xx.xxx -> 76.185.30.78 SIP Status: 404 Not Found
 1.959509 87.226.1xx.xxx -> 93.163.93.17 SIP Status: 404 Not Found
 1.999486 87.226.1xx.xxx -> 96.113.63.204 SIP Status: 404 Not Found
 2.045833 87.226.1xx.xxx -> 8.65.157.53  SIP Status: 404 Not Found
 2.079770 87.226.1xx.xxx -> 17.153.21.229 SIP Status: 404 Not Found
 2.119508 87.226.1xx.xxx -> 64.245.129.122 SIP Status: 404 Not Found
 2.159482 87.226.1xx.xxx -> 58.167.148.81 SIP Status: 404 Not Found
 2.199469 87.226.1xx.xxx -> 114.58.197.90 SIP Status: 404 Not Found

Кто-нибудь с таким сталкивался? Куда он ломится?

На WAN-е шлюза стоит реальник, разумеется заводские пароли поменяны на трудноподбираемые цифро-буквенные не менее 12 символов. Так что на его взлом не грешу. Перезагрузка шлюза вылечивает ситуацию.

[Andrei]

Есть конечно подозрения, что он только снаружи российский, а софт в основе остается буржуйский, хотя прошивку на нем меняли на присланную из российского Натекса неоднокартно. Чего стоит совершенно психоделическая надпись при выходе из вэб-морды шлюза - см.аттач. Может буржуи какую "закладочку" оставили? :) Хотя адреса, куда он пытается слать INVITE разбросаны случайным образом по всему миру.

[ram_scan]

Это не с него флуд а на него.

 

Он только 404 отвечает.

 

Голой задницей в дикий инет шлюз выставили вот на него и ломятся кто попало.

[ush]

А во время нормальной работы такого трафика нет? В Натекс за комментариями не обращались?

[-Ars-]

Голой задницей в дикий инет шлюз выставили вот на него и ломятся кто попало.

Народ халяву ищет :)

[Andrei]

Так входящего на него трафика снифером не видно.

Натекс порекомендовал настроить acl на шлюзе, открыв трафик только на свой софтсвич. Так и сделали.

[ram_scan]

Так входящего на него трафика снифером не видно.

Натекс порекомендовал настроить acl на шлюзе, открыв трафик только на свой софтсвич. Так и сделали.

 

Снифаете не там. Я обьяснял уже.

[Andrei]

Снифаете не там. Я обьяснял уже.

Я тоже уже объяснял свою позицию :)

Практика критерий истины - так? :) Предпринятые мной действия дали нужный результат. Значит все сделано правильно.