baronzzz Опубликовано 6 августа, 2013 · Жалоба День добрый форумчане. Взял на тест сие чудо SNR-vx20, маленький офис, данного чудо вроде хватает. Но как всякий повернутый на безопасности, решил настроить родной iptables. Подключился к IPPBX через ssh, покопался и впал в ступор... Нету тут конф. файла IPtables...ну или я ослеп Написал в суппорт support@nag.ru, получил ответ: Добрый день, АТС не пишет конфигурацию в отдельный *.*.txt файл Тут я совсем выпал в осадок. Думаю ладно, проведу эксперимент, посредством консоли добавляю в firewall правило пропустить все. Сохраняю iptables-save. Перегружаю, и о чудо, опять 'голый' файрвалл. Вопрос дня, люди добрые помогите отыскать в этом чуде куда он сохраняет \ берет настройки после загрузки. Остается у меня 1 вариант, кривой, но хотелось бы правильности. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 6 августа, 2013 · Жалоба Всем спасибо, вопрос решен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 19 августа, 2013 · Жалоба как решили вопрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 30 октября, 2013 · Жалоба Еще по теме вопрос - атс не может каким-нибудь способом банить айпи при подборе паролей? И вообще, подскажите, как максимально обезопаситься при открытии доступа из интернета? Пока использую фильтр айпи адресов, но это не всегда удобно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 30 октября, 2013 · Жалоба и вдогонку - не пускает по ssh. пробовал и измененные логин-пароль и стандартные админ-админ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 31 октября, 2013 · Жалоба по дефолту логин с паролем для ssh root/myippbx везде и всюду защищаемся iptables... Вот примерно так можно ограничить количество попыток подключений по ssh и web iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –update –seconds 3600 –hitcount 10 -j REJECT iptables -A INPUT -p tcp –dport 22 -m recent –name ssh –set -j ACCEPT iptables -A INPUT -p tcp -dport 80 -m recent -name web -update -seconds 20 -j DROP iptables -A INPUT -p tcp -dport 80 -m recent -name web -j ACCEPT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 1 ноября, 2013 · Жалоба Кстати, в новой прошивке появился бан при вводе неправильных сип учетных данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 23 ноября, 2013 · Жалоба Народ, подскажите, атс с какого-то перепуга добавляет правила блокировки root:~> iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- dsl-85-173-201-132.avtlg.ru anywhere DROP all -- dsl-85-173-201-132.avtlg.ru anywhere DROP all -- dsl-178-35-163-111.avtlg.ru anywhere DROP all -- 192.168.123.52 anywhere DROP all -- 192.168.123.61 anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Где это настроить, а конкретно - убрать. Зуб даю, что с локальных по крайней мере адресов не могло быть подбора пароля :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 24 ноября, 2013 · Жалоба Еще ряд вопросов - как заставить эту чудо-кробку писать лог в файл? Почему-то при подключении через программу zoiper на мобилке, происходит блокировка по айпи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 26 ноября, 2013 · Жалоба не верный пароль может? превышает количество допустимых подключений и уходит в блок. смотри чnо пишет в asterisk -vvr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 27 ноября, 2013 · Жалоба Не, пароль точно правильный. А можно как-нибудь перенаправить лог ошибок в файл, чтобы потом не спеша смотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 1 декабря, 2013 · Жалоба да, на астерисках логи пишутся на /var/logs/asterisk/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 2 декабря, 2013 · Жалоба Не, в var/log нету ничего похожего. Кстати, с техподдержкой нашли глюк, вроде, с атской. Если подтвердится - позже расскажу, а производители фикс выпучтят :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttartem Опубликовано 7 ноября, 2014 · Жалоба Конечно зачем барону отвечать, он свою проблемму решил и забил на то что может появиться у других аналогичные вопросы, олень гребанный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 10 ноября, 2014 (изменено) · Жалоба Если я не ошибаюсь, то там добавили в sip.conf #include sip_permit.conf а вообще может быть они в блок попадают вот по этому Advanced - Options - global sip settings SIP Register Failed times:xx Block time: xx (minutes) Попробуй воспроизвести проблему, проследи что * говорит Изменено 10 ноября, 2014 пользователем megahertz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 19 февраля, 2016 · Жалоба Давайте апнем. :) Как бороться с вот такой фигней? АТС смотрит наружу, без этого никак.. Уже мысли возникают, всех абонентов извне через какой-нибудь впн пускать... [Feb 19 13:19:38] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=c9dba81c [Feb 19 13:21:35] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 100<sip:100@192.168.122.8:5060>;tag=bdf86b3c [Feb 19 13:21:44] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=a44cefad [Feb 19 13:21:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=e84097c8 [Feb 19 13:25:46] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1001<sip:1001@192.168.122.8:5060>;tag=4bb61ab9 [Feb 19 13:26:03] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 1215<sip:1215@192.168.122.8:5060>;tag=bc7bed5a [Feb 19 13:26:05] NOTICE[277]: chan_sip.c:13989 handle_request_invite: Sending fake auth rejection for user 126<sip:126@192.168.122.8:5060>;tag=99f2757d Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 24 февраля, 2016 · Жалоба Добрый день Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию. Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 25 февраля, 2016 · Жалоба Добрый день Не стоит держать АТС как и любые другие VoIP устройства на белых адресах...рано или поздно найдется кто-то кто захочет получить доступ к оборудованию. Можно спрятать АТС за NAT, и на маршрутизаторе перед ней делать нужные port_forward, так же можно на маршрутизаторе закрыть доступ для всех, но оставить его открытым для конкретных адресов, можно средствами АТС, с помощью iptables Кирилл, а как же воип провайдеры? Кроме того, как быть с клиентами мобильными? Как быть, если я уехал в командировку и хочу к атс подключиться? По мне, проблема в другом - производитель не хочет заморачиваться и исправить две строчки в исходниках :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 26 февраля, 2016 · Жалоба vnkorol, поставьте себе IP телефон/шлюз на белый ип, и его когда нибудь хакнут... думаю, что операторы режут файрволом, + режут штатные сервисы доступа...(но лучше у операторов и спросить:)) можно так же закрыть(изменить заводские порты) доступ из вне на всякие вебы и ssh но открыть на них доступ через другое железо, другой IP(лично у меня есть пара точек входа с постоянными адресами, и с них есть выход на управляемые мной сервера) и по надобности открывать доступ, можно сменить штатные 5060 на что-то типа 5562...вариантов может быть масса...нет единой галки типа - защититься от всех Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 27 февраля, 2016 · Жалоба нет единой галки типа - защититься от всех Согласен и еще раз согласен. Но ведь дополнительный уровень защиты, такой как бан при переборе паролей, очень и очень не лишний. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...