S.O.S. Ataque

This site is best viewed in a modern browser with JavaScript enabled.

RiveraPer

Mira este post, es de junio de 17
https://forum.issabel.org/d/187-beware-new-elastix-2-5-4-0-freepbx-2-11-0-26-exploit

hgmnetwork

si recuerdo ese tema, era por el a2billing que no estaba actualizado por eso se quito de los extras y no se instala desde entonces, aunque ya a fecha de hoy se podria poner la version actualizada la verdad.

Pero creo recordar que eso quedo solucionado en el a2billing tambien en su actualizacion

RiveraPer

Me temo que no necesitan a2billing. Mediante el scrip que ponían en la URL creaban un fichero /var/www/html/_asterisk, si no mal recuerdo este es el que creaba la ruta. Lo que nunca he sabido es como creaban el crom.
Yo tengo algunas centralitas con Issabel (la mayoría en Elaxtix y freepbx) y con los puertos 443, 22 y 10000 abiertos (redirecionados externamente son el 4437, 202 y el 99999) y protegidos con reglas de geoip en iptables. Todos los días detecto mas de 10 ataques al puerto 443, entre 2 y 3 al 22 y unos 20 al 10000.
También tengo abiertos los puertos sip en centralitas de prueba, sin troncales, para ver los posibles ataques y con geoip bloqueando todos los países menos el mio (España) y no me llega ningún ataque a fail2ban.

RiveraPer

Para mi, lo ideal es no tener puertos abiertos, pero si necesitas abrirlos con reglas de geoip en iptables (bloqueando todos los países innecesarios) mas algunas otras bloqueando los típicos programas utilizados para ataques SIP mas fail2ban, queda una centralita bastante segura.

hgmnetwork

efectivamente lo bueno de issabel 4 es que permite bloquear por paises, la penas es en las versiones anteriores, pero al menos con el fail2ban y como dices cambiando los puertos para evitar esos problemas suele quedar bastante seguro.

A ver si en versiones futuras se mejora tambien ese apartado y se hace mas intuitivo y sobre todo mas seguro

yo personalmente a eso le sumo el acceso mediante bloqueo de .htaccess que comentas que eso ya evita el 95% de los ataques via web

RiveraPer

Mira, esto es un log de geoip en una centralita con los puertos 22 443 y 10000 abiertos.

Jan 6 05:08:40 sipgeoip: SRC=159.65.128.134 DPT=22
Jan 6 07:17:34 sipgeoip: SRC=120.52.152.18 DPT=443
Jan 6 08:38:55 sipgeoip: SRC=176.119.4.48 DPT=10000
Jan 6 13:47:06 sipgeoip: SRC=45.227.253.10 DPT=22
Jan 7 07:08:12 sipgeoip: SRC=45.227.253.10 DPT=443
Jan 7 07:08:55 sipgeoip: SRC=94.102.49.190 DPT=10000
Jan 7 14:04:52 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:04:52 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:04:55 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:04:55 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:05:02 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 8 17:01:49 sipgeoip: SRC=78.128.112.74 DPT=10000
Jan 9 02:03:07 sipgeoip: SRC=176.119.4.48 DPT=443
Jan 9 17:01:58 sipgeoip: SRC=198.108.67.98 DPT=22

Todos ellos redireccionados, pero como puedes ver redirecionarlos no vale de nada.

dariohimo

Es bueno tener un firewall principal y este adicionar software para que analice los paquetes y envié alertas. Y asegurar los hots o servidores y todo lo que este en esa red.
Ahora hay robots que escanean los puertos default de sip, iax, y todo lo que este en ese server hacia internet.
reglas de scaneo en el firewall yuda evitar esto.
Y contar con politicas de seguridad que uno implemente en todo. Pero no se realiza.
Se utiliza el root en ssh y no un usuario para accesar y después pasar a root.
El admin de web lo sabe todo el mundo y no se crean perfiles específicos.
Y hay documentación para realizar esto y recomendaciones.
Un proxy sip ayuda.
Hay que asegurar todo en una red. Y monitorear los logs.

ciberica

He seguido vuestros consejos y despues de todo, parece ser, que no ha sido culpa de mi pbx, sino de mi trunk... despues de mirar mis log no tenia realizada ninguna llamada y al final han confirmado de que el ataque se lo habian realizado a ellos en sus servidores por un problema en una regla .... aun asi estoy siguiendo el manual para curarme en saludo

Muchas Gracias

RiveraPer

Estoy probando reglas de iptables y parece ser que lo mas eficaz es:
1 redirigir puertos
2 no responder a ping
3 reglas en iptables antirastreo
4 reglas en iptables bloqueando con geoip de todos los paises (meno los necesarios claro)
5 reglas en iptables bloqueando los programas tipicos de hackeo
6 fail2bank

Con esta configuración no he recibido ningún ataque en 24 horas, lo cual es una proeza ya que recibía 2 por hora antes de ocultar ping y poner reglas antirastreo.

dariohimo

RiveraPer Esto lo realizas por el web de firewall de issabelpbx.
pega aquí las reglas para realizar pruebas.

RiveraPer

No es por firewall de issabelpbx.
Esta sol las reglas que tengo actualmente, ojo con geoip que esta bloqueados todos los países menos España.

Iptables –new-chain ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ALL NONE -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j ANTIRASTREO
iptables -A ANTIRASTREO -j LOG --log-prefix "firewall-antirastreo: " --log-level 6
iptables -A ANTIRASTREO -j DROP

iptables --new-chain SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CN,GB,DE,FR,US,RU,ID,NL,LT,AL,VN,BG,CA,SC,US -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AO,BF,BI,BJ,BW,CD,CF,CG,CI,CM -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CV,DJ,DZ,EG,ER,ET,GA,GH,GM,GN -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GQ,GW,KE,KM,LR,LS,LY,MA,MG,ML -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MR,MU,MW,MZ,NA,NE,NG,RE,RW,SC -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SD,SH,SL,SN,SO,ST,SZ,TD,TG,TN -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TZ,UG,YT,ZA,ZM,ZW,AQ,GS,TF,AE -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AF,AM,AZ,BD,BH,BN,BT,CC,CN,CX -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CY,GE,HK,ID,IL,IN,IO,IQ,IR,JO -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JP,KG,KH,KP,KR,KW,KZ,LA,LB,LK -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MM,MN,MO,MV,MY,NP,OM,PH,PK,PS -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc QA,SA,SG,SY,TH,TJ,TL,TM,TR,TW -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc UZ,VN,YE,AD,AL,AT,AX,BA,BE,BG -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BY,CH,CZ,DE,DK,EE,FI,FO,FR -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GB,GG,GI,GR,HR,HU,IE,IM,IS,IT -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JE,LI,LT,LU,LV,MC,MD,ME,MK,MT -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NL,NO,PL,PT,RO,RS,RU,SE,SI,SJ -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SK,SM,UA,VA,AG,AI,AW,BB,BL,BM -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BS,BZ,CA,CR,CU,DM,DO,GD,GL,GP -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GT,HN,HT,JM,KN,KY,LC,MF,MQ,MS -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MX,NI,PA,PM,PR,SV,TC,TT,US,VC -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc VG,AS,AU,CK,FJ,FM,GU,KI,MH,MP -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NC,NF,NR,NU,NZ,PF,PG,PN,PW,SB -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TK,TO,TV,UM,VU,WF,WS,AR,BO,BR -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CL,CO,EC,FK,GF,GY,PE,PY,SR,UY -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CN,GB,DE,FR,US,RU,ID,NL,LT,AL,VN,BG,CA,SC,US -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AO,BF,BI,BJ,BW,CD,CF,CG,CI,CM -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CV,DJ,DZ,EG,ER,ET,GA,GH,GM,GN -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GQ,GW,KE,KM,LR,LS,LY,MA,MG,ML -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MR,MU,MW,MZ,NA,NE,NG,RE,RW,SC -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SD,SH,SL,SN,SO,ST,SZ,TD,TG,TN -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TZ,UG,YT,ZA,ZM,ZW,AQ,GS,TF,AE -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AF,AM,AZ,BD,BH,BN,BT,CC,CN,CX -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CY,GE,HK,ID,IL,IN,IO,IQ,IR,JO -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JP,KG,KH,KP,KR,KW,KZ,LA,LB,LK -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MM,MN,MO,MV,MY,NP,OM,PH,PK,PS -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc QA,SA,SG,SY,TH,TJ,TL,TM,TR,TW -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc UZ,VN,YE,AD,AL,AT,AX,BA,BE,BG -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BY,CH,CZ,DE,DK,EE,FI,FO,FR -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GB,GG,GI,GR,HR,HU,IE,IM,IS,IT -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JE,LI,LT,LU,LV,MC,MD,ME,MK,MT -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NL,NO,PL,PT,RO,RS,RU,SE,SI,SJ -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SK,SM,UA,VA,AG,AI,AW,BB,BL,BM -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BS,BZ,CA,CR,CU,DM,DO,GD,GL,GP -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GT,HN,HT,JM,KN,KY,LC,MF,MQ,MS -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MX,NI,PA,PM,PR,SV,TC,TT,US,VC -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc VG,AS,AU,CK,FJ,FM,GU,KI,MH,MP -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NC,NF,NR,NU,NZ,PF,PG,PN,PW,SB -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TK,TO,TV,UM,VU,WF,WS,AR,BO,BR -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CL,CO,EC,FK,GF,GY,PE,PY,SR,UY -j SIPGEOIP

iptables -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -m geoip --src-cc A1 -j SIPGEOIP
iptables -A SIPGEOIP -j LOG --log-prefix "firewall-sipgeoip: " --log-level 6
iptables -A SIPGEOIP -j DROP

iptables --new-chain SIPDDOS
#User-Agent: sipcli/v1.8
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sundayddr" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sundayddr" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipsak" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sipsak" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipvicious" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipvicious " --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "friendly-scanner" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "friendly-scanner" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "iWar" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "iWar" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sip-scan" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sip-scan" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipcli" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sipcli" --algo bm -j SIPDDOS
#iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "eyeBeam" --algo bm -j SIPDDOS
#iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "eyeBeam" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "pjsip python" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "pjsip python" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "Custom SIP Phone" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "Custom SIP Phone" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sip:nm@nm" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sip:nm@nm" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sundayddr" --algo bm --to 65535 -m comment --comment "deny sundayddr" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sundayddr" --algo bm --to 65535 -m comment --comment "deny sundayddr" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipsak" --algo bm --to 65535 -m comment --comment "deny sipsak" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipsak" --algo bm --to 65535 -m comment --comment "deny sipsak" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipvicious" --algo bm --to 65535 -m comment --comment "deny sipvicious" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipvicious" --algo bm --to 65535 -m comment --comment "deny sipvicious" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "friendly-scanner" --algo bm --to 65535 -m comment --comment "deny friendly-scanner" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "friendly-scanner" --algo bm --to 65535 -m comment --comment "deny friendly-scanner" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "iWar" --algo bm --to 65535 -m comment --comment "deny iWar" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "iWar" --algo bm --to 65535 -m comment --comment "deny iWar" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sip-scan" --algo bm --to 65535 -m comment --comment "sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sip-scan" --algo bm --to 65535 -m comment --comment "sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipcli" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipcli" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipcli/v1.8" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipcli/v1.8" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
#iptables -A INPUT -p udp --sport 5060:5082 -m string --string "eyeBeam" --algo bm --to 65535 -m comment --comment "deny eyeBeam" -j SIPDDOS
#iptables -A INPUT -p udp --dport 5060:5082 -m string --string "eyeBeam" --algo bm --to 65535 -m comment --comment "deny eyeBeam" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "pjsip python" --algo bm --to 65535 -m comment --comment "deny pjsip python" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "pjsip python" --algo bm --to 65535 -m comment --comment "deny pjsip python" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "Custom SIP Phone" --algo bm --to 65535 -m comment --comment "deny Custom SIP Phone" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "Custom SIP Phone" --algo bm --to 65535 -m comment --comment "deny Custom SIP Phone" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm --to 65535 -m comment --comment "deny VaxSIPUserAgent" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm --to 65535 -m comment --comment "deny VaxSIPUserAgent" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sip:nm@nm" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sip:nm@nm" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A SIPDDOS -j LOG --log-prefix "firewall-sipddos: " --log-level 6
iptables -A SIPDDOS -j DROP

dariohimo

RiveraPer gracias, por el aporte una pregunta como desabilito por web que no sebreescriba estas reglas. gracias.

RiveraPer

Yo siempre desactivo por web el firewall de issabelpbx

« Previous Page