Jump to content
Калькуляторы

SNR-vx20 а как с защитой SNR-vx20 iptables

День добрый форумчане.

 

Взял на тест сие чудо SNR-vx20, маленький офис, данного чудо вроде хватает.

Но как всякий повернутый на безопасности, решил настроить родной iptables.

 

Подключился к IPPBX через ssh, покопался и впал в ступор... Нету тут конф. файла IPtables...ну или я ослеп

 

Написал в суппорт support@nag.ru, получил ответ:

 

Добрый день, АТС не пишет конфигурацию в отдельный *.*.txt файл

 

Тут я совсем выпал в осадок.

 

Думаю ладно, проведу эксперимент, посредством консоли добавляю в firewall правило пропустить все. Сохраняю iptables-save.

 

Перегружаю, и о чудо, опять 'голый' файрвалл.

 

 

 

Вопрос дня, люди добрые помогите отыскать в этом чуде куда он сохраняет \ берет настройки после загрузки.

 

Остается у меня 1 вариант, кривой, но хотелось бы правильности.

 

Спасибо.

Share this post


Link to post
Share on other sites

Еще по теме вопрос - атс не может каким-нибудь способом банить айпи при подборе паролей? И вообще, подскажите, как максимально обезопаситься при открытии доступа из интернета? Пока использую фильтр айпи адресов, но это не всегда удобно...

Share this post


Link to post
Share on other sites

и вдогонку - не пускает по ssh. пробовал и измененные логин-пароль и стандартные админ-админ...

Share this post


Link to post
Share on other sites

по дефолту логин с паролем для ssh root/myippbx

везде и всюду защищаемся iptables...

Вот примерно так можно ограничить количество попыток подключений по ssh и web

iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –update –seconds 3600 –hitcount 10 -j REJECT

iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –set -j ACCEPT

 

iptables -A INPUT -p tcp -dport 80 -m recent -name web -update -seconds 20 -j DROP

iptables -A INPUT -p tcp -dport 80 -m recent -name web -j ACCEPT

Share this post


Link to post
Share on other sites

Кстати, в новой прошивке появился бан при вводе неправильных сип учетных данных.

Share this post


Link to post
Share on other sites

Народ, подскажите, атс с какого-то перепуга добавляет правила блокировки

root:~> iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  dsl-85-173-201-132.avtlg.ru  anywhere
DROP       all  --  dsl-85-173-201-132.avtlg.ru  anywhere
DROP       all  --  dsl-178-35-163-111.avtlg.ru  anywhere
DROP       all  --  192.168.123.52       anywhere
DROP       all  --  192.168.123.61       anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

Где это настроить, а конкретно - убрать. Зуб даю, что с локальных по крайней мере адресов не могло быть подбора пароля :(

Share this post


Link to post
Share on other sites

Еще ряд вопросов - как заставить эту чудо-кробку писать лог в файл?

 

Почему-то при подключении через программу zoiper на мобилке, происходит блокировка по айпи...

Share this post


Link to post
Share on other sites

не верный пароль может? превышает количество допустимых подключений и уходит в блок. смотри чnо пишет в asterisk -vvr

Share this post


Link to post
Share on other sites

Не, пароль точно правильный. А можно как-нибудь перенаправить лог ошибок в файл, чтобы потом не спеша смотреть?

Share this post


Link to post
Share on other sites

да, на астерисках логи пишутся на /var/logs/asterisk/

Share this post


Link to post
Share on other sites

Не, в var/log нету ничего похожего. Кстати, с техподдержкой нашли глюк, вроде, с атской. Если подтвердится - позже расскажу, а производители фикс выпучтят :)

Share this post


Link to post
Share on other sites

Конечно зачем барону отвечать, он свою проблемму решил и забил на то что может появиться у других аналогичные вопросы, олень гребанный

Share this post


Link to post
Share on other sites

Если я не ошибаюсь, то там добавили в sip.conf #include sip_permit.conf

а вообще может быть они в блок попадают вот по этому

 

Advanced - Options - global sip settings

SIP Register Failed times:xx

Block time: xx (minutes)

Попробуй воспроизвести проблему, проследи что * говорит

Edited by megahertz

Share this post


Link to post
Share on other sites

Давайте апнем. :)

 

Как бороться с вот такой фигней? АТС смотрит наружу, без этого никак.. Уже мысли возникают, всех абонентов извне через какой-нибудь впн пускать...

 

[Feb 19 13:19:38] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=c9dba81c

[Feb 19 13:21:35] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 100<sip:100@192.168.122.8:5060>;tag=bdf86b3c

[Feb 19 13:21:44] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=a44cefad

[Feb 19 13:21:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=e84097c8

[Feb 19 13:25:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=4bb61ab9

[Feb 19 13:26:03] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=bc7bed5a

[Feb 19 13:26:05] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=99f2757d

Share this post


Link to post
Share on other sites

Добрый день

Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию.

Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables

Share this post


Link to post
Share on other sites

Добрый день

Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию.

Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables

 

Кирилл, а как же воип провайдеры? Кроме того, как быть с клиентами мобильными? Как быть, если я уехал в командировку и хочу к атс подключиться? По мне, проблема в другом - производитель не хочет заморачиваться и исправить две строчки в исходниках :(

Share this post


Link to post
Share on other sites

vnkorol, поставьте себе IP телефон/шлюз на белый ип, и его когда нибудь хакнут...

думаю, что операторы режут файрволом, + режут штатные сервисы доступа...(но лучше у операторов и спросить:)) можно так же закрыть(изменить заводские порты) доступ из вне на всякие вебы и ssh но открыть на них доступ через другое железо, другой IP(лично у меня есть пара точек входа с постоянными адресами, и с них есть выход на управляемые мной сервера) и по надобности открывать доступ, можно сменить штатные 5060 на что-то типа 5562...вариантов может быть масса...нет единой галки типа - защититься от всех

Share this post


Link to post
Share on other sites

нет единой галки типа - защититься от всех

 

Согласен и еще раз согласен. Но ведь дополнительный уровень защиты, такой как бан при переборе паролей, очень и очень не лишний.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this