AF
Asterisk Forum
обсуждения телефонии, VoIP и IP-PBX
12разделов
5 423тем
34 385сообщений
← К списку тем

Пару вопросов по астериск

Newbies/FAQ Forum 6 сообщений -
#1
астериск 1.6 + Centos

Нашел настройку в конфиг файлах FOP панели

kill_zombies = 1

это разрыв зависших линий , вот только не нашел таймера на разрыв , эта настройка определяет зависание канала автоматически ?

еще ищю альтернативу fail2ban , может есть какой нибудь модуль или внутри астерискное решение (не хочется прикручивать fail2ban сбоку)

Заранее спасибо
#2
fail2ban - ваще-то это помощник-анализатор, который рулит iptables. Интересно кто кроме СИСТЕМЫ может себя лучше защитить. Так что идея насчет делать это внутри астера не выдерживате критики.
Можно, конечно в аккаунтах прописывать конкретные адреса, но...
_________________
P4 3.0 + 1Gb CentOS 5.8 Aster 1.8.16
Не люблю gui-сборки: натуральный продукт вкуснее.
И еще: я ПРОФИ так как НЕ ЛЕНЮСЬ читать литературу.
#3
Вот как раз и хочется на уровне приложения , две опции , одна количество неправильных логинов по сипу , второе количество времени для бана

ну а блокировать ... , да с блокировкой посложнее , тут если лочится то и лигитивный абонент не сможет приконектится ) до снятия бана


или как вариант блокировать международку на абоненте на котором ввели пару раз неправильный пароль
#4
по первому вопросу нашел вот что: "kill_zombies if enabled (1) the server will try to hangup zombie channels if they happen. This option should not be used, it is disabled by default (0)" отсюда http://www.asternic.org/documentation.html так что непонятно ничего, у самого такая проблема возникает переодически, есть правда еще рекомендации https://issues.asterisk.org/jira/browse/ASTERISK-2886, но, пока не пробовал, хотя сам факт, что астер определяет состояние канала как дает наверно возможность попробовать написать некий скрипт, который будет периодически проверять состояние каналов, и, если зомби, делать софт резет... попробую на следующей неделе, отпишусь че как...

по второму не совсем ясна задача: какой функционал требуется в итоге? если защитить астер от вторжений, то либо fail2ban, либо http://www.elastix.org/index.php/en/comp ... guide.html такой вариант. астер - это IP PBX, так что навешивать на него функционал защиты даже идеологически неправильно, этим должна заниматься система, на которую он установлен, соответственно iptables или ipfw или какой-нибудь виндовый фаер (хотя астер под вендой это как-то совсем херово IMHO). Если делать на уровне астера, то явно надо писать некий модуль, который постоянно следит за логами, парсит их на предмет неверных входов, и, производит какое-то действие, ту же блокировку, но на мой взгляд это изврат + дополнительная нагрузка на проц. Если контора работает не круглосуточно, то есть смысл навесить временные правила на каналы (да и на эксты)... международную связь вывести в отдельный контекст, со своими правилами, и там воротить че хочешь... На линуксах можно заюзать еще связку snort+snortsam и прописать там соответствующее правило, блокирующее внешние IP по признаку брутфорса... Оптимальный вариант конечно это держать телефонию на отдельном канале, там не будет ни проблем с безопасностью, ни с QoS заморачиваться не надо будет, а если нужно подлючение внешних абонентов, то для них сделать VPN доступ - вот и все. У меня как раз такая схема реализована, живем спокойно Smile Ну и да, в связи с тем, что международные звонки нам не нужны, мы их до кучи заблочили у прова.

P.S. Wapo - очень радуют статьи в твоем блоге Smile Аффтар - пеши исче! Smile
#5
Спасибо jeckfs
#6
Нашел интересную штуку, вот кусок с другого форума

-Цитата-

Добавьте в этот контекст Noop(SIP packet from ${SIPCHANINFO(recvip)}) и в логах будете видеть IP, с которого приходят пакеты.

-Цитата-

Что если на уровне дайал плана вылавливаем абонента с левыми регистрациями (например 5 неудачных попыток) и выводим результат на веб в состояние астериска )

Получаем визуальный контроль за атаками на сервер )

Не знаю реально ли такое ) но мне кажется что вполне возможно