у меня пока другая проблема)) звонки не проходят, с блоком потом разберусь fail2ban поставил

вечер fail2ban)
только что столкнулся со странным глюком. настраиваю fail2ban для астериска, action firewallcmd-allports
проверяю на еще одном своем сервере - адрес в цепочку попадает. sipsak больше не может посылать пакеты -  (type: 3, code: 3).  Вроде все как нужно.
Но в это же время  к астеру постоянно сыпятся инвайты с адреса 185.53.88.48, он попадает в бан, но инвайты продолжают сыпаться. в логе fail2ban - записи

2020-06-17 16:25:42,372 fail2ban.filter         [10217]: INFO    [asterisk] Found 185.53.88.48 - 2020-06-17 16:25:42
2020-06-17 16:25:42,432 fail2ban.actions        [10217]: WARNING [asterisk] 185.53.88.48 already banned

то есть адрес в цепочке, fail2ban его тоже воспринимает как своего пациента, но почему то на астер продолжают сыпаться инвайты

может кто то сталкивался с таким же поведением?

возможно спуфинг.  tcpdump смотреть с какого реально ip адреса сыпятся инвайты.

или в самом asterisk sip debug

и что fail2ban.actions делает?   Лучше всего DROP

Что может быть, звонки проходят, но голоса нет

rtp debug

может быть всё что угодно: кривая настройка NAT — пакеты идут не с того адреса и не на тот порт, либо RTP закрыт файрволом и открыт только SIP

это стандарный action, из пакета fail2ban для centos7
описан в /etc/fail2ban/action.d/firewallcmd-allports.conf

делает то же что и обычно - добавляет в цепочку, в ней REJECT с source хоста с reject-with icmp-port-unreachable

Я предпочитаю его отредактировать и REJECT заменить на DROP

видимо все таки какой то спуфинг, потому что добавил в начало цепочки INPUT правило с DROP, но все равно пролазит. сейчас сниму дамп - посмотрю. вопрос в другом - как с такой заразой бороться

А логин это который с mobsip? Или с sip? Начинается?

также проверить какой протокол — по умолчанию у fail2ban tcp, а надо все протоколы.

нет,  в рамках этого пакета это не так. в цепочке fail2ban - REJECT prot all. Проверил на другом сервере - там тоже все протоколы

сейчас как назло поток инвайтов прекратился( соберу ночью - может что то будет

Всем привет, есть у кого Issabel PBX установленная?

Я файлик один удалил не сделав бэкап, переустанавливать долго... Нужен control_panel_design.db

как с такой заразой бороться — превентивно забанить в iptables все сетки где выдают виртуалки кому-попало.   большинство сканов и брутфорсов лезет оттуда.   а с оставшимся справится fail2ban

У меня тплинк мозг делал

Поставил кошку и всё ок стало

Тупой свитч подучить