Задать вопрос
@krll-k

Почему Fail2ban не всех банит? Как добавить правило на message?

Смотрим сообщение:
[Nov 26 09:50:03] SECURITY[57]: res_security_log.c:116 security_event_stasis_cb: SecurityEvent="ChallengeSent",EventTV="2016-11-26T09:50:03.677+0000",Se
verity="Informational",Service="SIP",EventVersion="1",AccountID="sip:900@188.166.54.230",SessionID="0x7ff7140811e8",LocalAddress="IPV4/UDP/188.166.54.23
0/5060",RemoteAddress="IPV4/UDP/209.126.117.223/5070",Challenge="042b3eca"

Смотри в наш Fail2ban:
root@localhost:/asterisk-13.10.0# fail2ban-client status asterisk                                                                                       
Status for the jail: asterisk                                                                                                                           
|- Filter                                                                                                                                               
|  |- Currently failed: 0                                                                                                                               
|  |- Total failed:     1232                                                                                                                            
|  `- File list:        /var/log/asterisk/messages                                                                                                      
`- Actions                                                                                                                                              
   |- Currently banned: 3                                                                                                                               
   |- Total banned:     3                                                                                                                               
   `- Banned IP list:   23.239.86.114 213.202.233.189 155.94.64.74

Понимаем, что Fail2ban не умеет банить таких. Как исправить?

UPD. У меня нет 900 абонента, как видите:
localhost*CLI> sip show peers                                                                                                                           
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description                        
1000/1000                 0.0.0.0                           D  No         No             53225    Unmonitored                                    
1001/1001                 (Unspecified)                            D  No         No             0        Unmonitored                                    
multifon-out/89997776655 193.201.229.35                              Yes        Yes            5060     Unmonitored                                    
3 sip peers [Monitored: 0 online, 0 offline Unmonitored: 2 online, 1 offline]
  • Вопрос задан
  • 1131 просмотр
Подписаться 1 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 2
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
А за что таких банить? Штатное сообщение одного из этапов аутентификации, отправка Challenge.
Ответ написан
@silverjoe
Возможно вам поможет настройка iptables, как в этом ответе FreePBX friendly scanner, как завалить?
Комментарий тоже прочтите.

Таким образом вы отсечете программы для брутфорса
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы