Повадились хацкеры подбирать пароли на sip сервере.
Написал пару правил на iptables v1.3.6
=================================================================
SIPPORTS="5060:5080"$IPTABLES -N sip_check
$IPTABLES -A sip_check -m recent --rcheck --seconds 600 --hitcount 2 -j DROP
$IPTABLES -A sip_check -m recent --set -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -m conntrack --ctstate NEW -p udp -m multiport --dport $SIPPORTS -j sip_check
================================================================
Эта связка правил -- работает.Только одно но.SIP клиент логиниться на сервер,начинает говорить и попадает в набор этих правил.И iptables начинает лочить.Не подскажите, как отделить нормальный разговор от процесса подбора паролей?
эмм а в сторону fail2ban не смотрели?!
или же, например, самописный скрипт, парсящий логи астериска на предмет перебора паролей и банящий эти ip iptables'ом
Thank.Посмотрю, что за зверь.
Хотелось бы реализовать это чисто на iptables.
>Хотелось бы реализовать это чисто на iptables.если по заголовкам пакета не видно разговор это или ввод пароля, то "чисто на iptables"
остается -m string, при условии что в пакете для ввода пароля всегда есть определенная последовательность кодов, но это может быть ресурсоемко
Большое спасибо.
>>Хотелось бы реализовать это чисто на iptables.
>
>если по заголовкам пакета не видно разговор это или ввод пароля, то
>"чисто на iptables"
> остается -m string, при условии что в пакете для ввода пароля
>всегда есть определенная последовательность кодов, но это может быть ресурсоемкоВ дополнение могу сказать, что я буквально недавно видел готовую реализацию данных правил, прекрасно работает при поиске по "REGISTER" или "sipчто-тотамREGISTER". :)