Tengo una caja Asterisk detrás de un enrutador/módem ADSL. No hay otros servicios en Asterisk, solo telefonía. Recibo mucho tráfico que creo que son sondas SIP. He instalado elcliente sippot rbllo que agrega 1400 direcciones para bloquear en mis iptables, pero sigo recibiendo tráfico no solicitado.
Creo que la solución es bloquear todo el tráfico en Asterisk, excepto el tráfico local (192.168.1.n) y el tráfico VPN (Hamachi 25.213.nn), y solo incluir en la lista blanca los 2 proveedores de VOIP que uso. No tengo líneas SIP fuera de la oficina, por lo que no necesito reglas sofisticadas para rastrear a los usuarios móviles u otras oficinas.
¿Cómo hago esto?
Respuesta1
Querrás agregar algo como esto a /etc/sysconfig/iptables:
-A INPUT -s 192.168.1.0/24 -j ACCEPT -m comment --comment "local traffic"
-A INPUT -s 25.213.0.0/16 -j ACCEPT -m comment --comment "VPN traffic"
-A INPUT -s 1.2.3.4/32 -j ACCEPT -m comment --comment "SIP provider 1"
-A INPUT -s 5.6.7.8/32 -j ACCEPT -m comment --comment "SIP provider 2"
Estas reglas deben ir justo encima de la regla de denegación predeterminada, que normalmente se parece a esta:
-A INPUT -j REJECT --reject-with icmp-host-prohibited -m comment --comment "default deny"
También puedes agregar cosas usando el iptablescomando, pero sin saber qué número de regla deseas insertar, es más fácil simplemente editar el archivo de texto.
Respuesta2
Puedes usar fail2ban para prohibir malos ataques
Si usa VPN, puede desactivar el reenvío del puerto 5060 en su enrutador.