baronzzz Posted August 6, 2013 Posted August 6, 2013 День добрый форумчане. Взял на тест сие чудо SNR-vx20, маленький офис, данного чудо вроде хватает. Но как всякий повернутый на безопасности, решил настроить родной iptables. Подключился к IPPBX через ssh, покопался и впал в ступор... Нету тут конф. файла IPtables...ну или я ослеп Написал в суппорт support@nag.ru, получил ответ: Добрый день, АТС не пишет конфигурацию в отдельный *.*.txt файл Тут я совсем выпал в осадок. Думаю ладно, проведу эксперимент, посредством консоли добавляю в firewall правило пропустить все. Сохраняю iptables-save. Перегружаю, и о чудо, опять 'голый' файрвалл. Вопрос дня, люди добрые помогите отыскать в этом чуде куда он сохраняет \ берет настройки после загрузки. Остается у меня 1 вариант, кривой, но хотелось бы правильности. Спасибо. Вставить ник Quote
baronzzz Posted August 6, 2013 Author Posted August 6, 2013 Всем спасибо, вопрос решен. Вставить ник Quote
vnkorol Posted October 30, 2013 Posted October 30, 2013 Еще по теме вопрос - атс не может каким-нибудь способом банить айпи при подборе паролей? И вообще, подскажите, как максимально обезопаситься при открытии доступа из интернета? Пока использую фильтр айпи адресов, но это не всегда удобно... Вставить ник Quote
vnkorol Posted October 30, 2013 Posted October 30, 2013 и вдогонку - не пускает по ssh. пробовал и измененные логин-пароль и стандартные админ-админ... Вставить ник Quote
megahertz Posted October 31, 2013 Posted October 31, 2013 по дефолту логин с паролем для ssh root/myippbx везде и всюду защищаемся iptables... Вот примерно так можно ограничить количество попыток подключений по ssh и web iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –update –seconds 3600 –hitcount 10 -j REJECT iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –set -j ACCEPT iptables -A INPUT -p tcp -dport 80 -m recent -name web -update -seconds 20 -j DROP iptables -A INPUT -p tcp -dport 80 -m recent -name web -j ACCEPT Вставить ник Quote
vnkorol Posted November 1, 2013 Posted November 1, 2013 Кстати, в новой прошивке появился бан при вводе неправильных сип учетных данных. Вставить ник Quote
vnkorol Posted November 23, 2013 Posted November 23, 2013 Народ, подскажите, атс с какого-то перепуга добавляет правила блокировки root:~> iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- dsl-85-173-201-132.avtlg.ru anywhere DROP all -- dsl-85-173-201-132.avtlg.ru anywhere DROP all -- dsl-178-35-163-111.avtlg.ru anywhere DROP all -- 192.168.123.52 anywhere DROP all -- 192.168.123.61 anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Где это настроить, а конкретно - убрать. Зуб даю, что с локальных по крайней мере адресов не могло быть подбора пароля :( Вставить ник Quote
vnkorol Posted November 24, 2013 Posted November 24, 2013 Еще ряд вопросов - как заставить эту чудо-кробку писать лог в файл? Почему-то при подключении через программу zoiper на мобилке, происходит блокировка по айпи... Вставить ник Quote
megahertz Posted November 26, 2013 Posted November 26, 2013 не верный пароль может? превышает количество допустимых подключений и уходит в блок. смотри чnо пишет в asterisk -vvr Вставить ник Quote
vnkorol Posted November 27, 2013 Posted November 27, 2013 Не, пароль точно правильный. А можно как-нибудь перенаправить лог ошибок в файл, чтобы потом не спеша смотреть? Вставить ник Quote
megahertz Posted December 1, 2013 Posted December 1, 2013 да, на астерисках логи пишутся на /var/logs/asterisk/ Вставить ник Quote
vnkorol Posted December 2, 2013 Posted December 2, 2013 Не, в var/log нету ничего похожего. Кстати, с техподдержкой нашли глюк, вроде, с атской. Если подтвердится - позже расскажу, а производители фикс выпучтят :) Вставить ник Quote
ttartem Posted November 7, 2014 Posted November 7, 2014 Конечно зачем барону отвечать, он свою проблемму решил и забил на то что может появиться у других аналогичные вопросы, олень гребанный Вставить ник Quote
megahertz Posted November 10, 2014 Posted November 10, 2014 (edited) Если я не ошибаюсь, то там добавили в sip.conf #include sip_permit.conf а вообще может быть они в блок попадают вот по этому Advanced - Options - global sip settings SIP Register Failed times:xx Block time: xx (minutes) Попробуй воспроизвести проблему, проследи что * говорит Edited November 10, 2014 by megahertz Вставить ник Quote
vnkorol Posted February 19, 2016 Posted February 19, 2016 Давайте апнем. :) Как бороться с вот такой фигней? АТС смотрит наружу, без этого никак.. Уже мысли возникают, всех абонентов извне через какой-нибудь впн пускать... [Feb 19 13:19:38] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=c9dba81c [Feb 19 13:21:35] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 100<sip:100@192.168.122.8:5060>;tag=bdf86b3c [Feb 19 13:21:44] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=a44cefad [Feb 19 13:21:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=e84097c8 [Feb 19 13:25:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=4bb61ab9 [Feb 19 13:26:03] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=bc7bed5a [Feb 19 13:26:05] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=99f2757d Вставить ник Quote
Kirill Vasilyev Posted February 24, 2016 Posted February 24, 2016 Добрый день Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию. Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables Вставить ник Quote
vnkorol Posted February 25, 2016 Posted February 25, 2016 Добрый день Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию. Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables Кирилл, а как же воип провайдеры? Кроме того, как быть с клиентами мобильными? Как быть, если я уехал в командировку и хочу к атс подключиться? По мне, проблема в другом - производитель не хочет заморачиваться и исправить две строчки в исходниках :( Вставить ник Quote
megahertz Posted February 26, 2016 Posted February 26, 2016 vnkorol, поставьте себе IP телефон/шлюз на белый ип, и его когда нибудь хакнут... думаю, что операторы режут файрволом, + режут штатные сервисы доступа...(но лучше у операторов и спросить:)) можно так же закрыть(изменить заводские порты) доступ из вне на всякие вебы и ssh но открыть на них доступ через другое железо, другой IP(лично у меня есть пара точек входа с постоянными адресами, и с них есть выход на управляемые мной сервера) и по надобности открывать доступ, можно сменить штатные 5060 на что-то типа 5562...вариантов может быть масса...нет единой галки типа - защититься от всех Вставить ник Quote
vnkorol Posted February 27, 2016 Posted February 27, 2016 нет единой галки типа - защититься от всех Согласен и еще раз согласен. Но ведь дополнительный уровень защиты, такой как бан при переборе паролей, очень и очень не лишний. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.