Перейти к содержимому
Калькуляторы

SNR-vx20 а как с защитой SNR-vx20 iptables

День добрый форумчане.

 

Взял на тест сие чудо SNR-vx20, маленький офис, данного чудо вроде хватает.

Но как всякий повернутый на безопасности, решил настроить родной iptables.

 

Подключился к IPPBX через ssh, покопался и впал в ступор... Нету тут конф. файла IPtables...ну или я ослеп

 

Написал в суппорт support@nag.ru, получил ответ:

 

Добрый день, АТС не пишет конфигурацию в отдельный *.*.txt файл

 

Тут я совсем выпал в осадок.

 

Думаю ладно, проведу эксперимент, посредством консоли добавляю в firewall правило пропустить все. Сохраняю iptables-save.

 

Перегружаю, и о чудо, опять 'голый' файрвалл.

 

 

 

Вопрос дня, люди добрые помогите отыскать в этом чуде куда он сохраняет \ берет настройки после загрузки.

 

Остается у меня 1 вариант, кривой, но хотелось бы правильности.

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо, вопрос решен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как решили вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще по теме вопрос - атс не может каким-нибудь способом банить айпи при подборе паролей? И вообще, подскажите, как максимально обезопаситься при открытии доступа из интернета? Пока использую фильтр айпи адресов, но это не всегда удобно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и вдогонку - не пускает по ssh. пробовал и измененные логин-пароль и стандартные админ-админ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по дефолту логин с паролем для ssh root/myippbx

везде и всюду защищаемся iptables...

Вот примерно так можно ограничить количество попыток подключений по ssh и web

iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –update –seconds 3600 –hitcount 10 -j REJECT

iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –set -j ACCEPT

 

iptables -A INPUT -p tcp -dport 80 -m recent -name web -update -seconds 20 -j DROP

iptables -A INPUT -p tcp -dport 80 -m recent -name web -j ACCEPT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, в новой прошивке появился бан при вводе неправильных сип учетных данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, подскажите, атс с какого-то перепуга добавляет правила блокировки

root:~> iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  dsl-85-173-201-132.avtlg.ru  anywhere
DROP       all  --  dsl-85-173-201-132.avtlg.ru  anywhere
DROP       all  --  dsl-178-35-163-111.avtlg.ru  anywhere
DROP       all  --  192.168.123.52       anywhere
DROP       all  --  192.168.123.61       anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

Где это настроить, а конкретно - убрать. Зуб даю, что с локальных по крайней мере адресов не могло быть подбора пароля :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще ряд вопросов - как заставить эту чудо-кробку писать лог в файл?

 

Почему-то при подключении через программу zoiper на мобилке, происходит блокировка по айпи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не верный пароль может? превышает количество допустимых подключений и уходит в блок. смотри чnо пишет в asterisk -vvr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не, пароль точно правильный. А можно как-нибудь перенаправить лог ошибок в файл, чтобы потом не спеша смотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, на астерисках логи пишутся на /var/logs/asterisk/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не, в var/log нету ничего похожего. Кстати, с техподдержкой нашли глюк, вроде, с атской. Если подтвердится - позже расскажу, а производители фикс выпучтят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно зачем барону отвечать, он свою проблемму решил и забил на то что может появиться у других аналогичные вопросы, олень гребанный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я не ошибаюсь, то там добавили в sip.conf #include sip_permit.conf

а вообще может быть они в блок попадают вот по этому

 

Advanced - Options - global sip settings

SIP Register Failed times:xx

Block time: xx (minutes)

Попробуй воспроизвести проблему, проследи что * говорит

Изменено пользователем megahertz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давайте апнем. :)

 

Как бороться с вот такой фигней? АТС смотрит наружу, без этого никак.. Уже мысли возникают, всех абонентов извне через какой-нибудь впн пускать...

 

[Feb 19 13:19:38] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=c9dba81c

[Feb 19 13:21:35] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 100<sip:100@192.168.122.8:5060>;tag=bdf86b3c

[Feb 19 13:21:44] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=a44cefad

[Feb 19 13:21:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=e84097c8

[Feb 19 13:25:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=4bb61ab9

[Feb 19 13:26:03] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=bc7bed5a

[Feb 19 13:26:05] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=99f2757d

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день

Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию.

Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день

Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию.

Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables

 

Кирилл, а как же воип провайдеры? Кроме того, как быть с клиентами мобильными? Как быть, если я уехал в командировку и хочу к атс подключиться? По мне, проблема в другом - производитель не хочет заморачиваться и исправить две строчки в исходниках :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vnkorol, поставьте себе IP телефон/шлюз на белый ип, и его когда нибудь хакнут...

думаю, что операторы режут файрволом, + режут штатные сервисы доступа...(но лучше у операторов и спросить:)) можно так же закрыть(изменить заводские порты) доступ из вне на всякие вебы и ssh но открыть на них доступ через другое железо, другой IP(лично у меня есть пара точек входа с постоянными адресами, и с них есть выход на управляемые мной сервера) и по надобности открывать доступ, можно сменить штатные 5060 на что-то типа 5562...вариантов может быть масса...нет единой галки типа - защититься от всех

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет единой галки типа - защититься от всех

 

Согласен и еще раз согласен. Но ведь дополнительный уровень защиты, такой как бан при переборе паролей, очень и очень не лишний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.