w*******t 发帖数: 960 | 1 一个困惑了一天的iptables问题要请教,
ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里
还能看见人不停的试我的密码,端口就不在允许范围内
下面是我的iptables -S输出
=====================================================================
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060:5061 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060:5061 -j ACCEPT
-A INPUT -j DROP
=====================================================================
下面是asterisk -rvvvv下的信息
==========================================================
[2015-09-28 18:14:39] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for '
212.129.2.176:5090' - Wrong password
[2015-09-28 18:14:49] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.129.2.176:5061' - Wrong password
[2015-09-28 18:15:05] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for
'212.129.2.176:5061' - Wrong password |
a*o 发帖数: 19981 | 2 reject呢?光可见accept了,你得把default弄成reject啊。
【在 w*******t 的大作中提到】 : 一个困惑了一天的iptables问题要请教, : ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里 : 还能看见人不停的试我的密码,端口就不在允许范围内 : 下面是我的iptables -S输出 : ===================================================================== : -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh : -A INPUT -i lo -j ACCEPT : -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT : -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT : -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
|
w*******t 发帖数: 960 | 3 最后一句不是把default都drop了吗?还是我理解错了
【在 a*o 的大作中提到】 : reject呢?光可见accept了,你得把default弄成reject啊。
|
a*o 发帖数: 19981 | 4 哦哦确实,是我看漏了。
【在 w*******t 的大作中提到】 : 最后一句不是把default都drop了吗?还是我理解错了
|
i**w 发帖数: 883 | |
j********2 发帖数: 4438 | |
a*o 发帖数: 19981 | |
w*******t 发帖数: 960 | 8 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
【在 j********2 的大作中提到】 : 你开着5060和5061,别人为啥不能连?
|
r******i 发帖数: 610 | 9 related,established
【在 w*******t 的大作中提到】 : 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
|
w*******t 发帖数: 960 | 10 -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
这句的本意是 允许本地访问外部端口
我的网络 internet modem --- router(port forwarding) ----ubuntu server
这个iptables在ubuntu server上
外部的访问经过路由端口转发到这台主机上,对于主机看来都是192.168.0.1这个内部
地址?
【在 r******i 的大作中提到】 : related,established
|
|
|
a9 发帖数: 21638 | 11 从字面看也不仅仅是允许本地访问外部端口的意思啊。
【在 w*******t 的大作中提到】 : -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT : 这句的本意是 允许本地访问外部端口 : 我的网络 internet modem --- router(port forwarding) ----ubuntu server : 这个iptables在ubuntu server上 : 外部的访问经过路由端口转发到这台主机上,对于主机看来都是192.168.0.1这个内部 : 地址?
|
a9 发帖数: 21638 | 12 下面没有了
【在 w*******t 的大作中提到】 : 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
|
t****t 发帖数: 6806 | 13 这个established的意思是已经建立的连接可以过. related主要是给FTP用的, 因为FTP
需要两个端口. 具体5090是不是和5060 related需要查一下ip_conntrack_*的module.
【在 a9 的大作中提到】 : 从字面看也不仅仅是允许本地访问外部端口的意思啊。
|
w*******t 发帖数: 960 | 14 我的网络 internet -- router(port forwarding) --- ubuntu pc( w/ iptables)
iptables 里 drop input
允许一些必要的port
把规则改了改,
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
又加了这几条 drop非法连接
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
======================================================================
asterisk CLi还是出现下面的信息:
212.I29.2.I76
这里的5112端口,我并没有开放
[2015-09-28 13:29:31] NOTICE[2040]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.I29.2.I76:5112' - Wrong password
======================================================================
iptable里把这个IP ban掉, 世界清静了很多,但是还有下面这个能通过
212.83.I86.3是对方的IP,它没能在我的asterisk上注册,但一直试图用我的
asterisk打电话,不知道怎么做到的
这个看不出来是来自什么端口
另外,我的fail2ban也不能捉到这个连接
-- Executing [95011972597633694@from-sip-external:1] NoOp("SIP/my.own.ip.
address-0000004d", "Received incoming SIP connection from unknown peer to
95011972597633694") in new stack
-- Executing [95011972597633694@from-sip-external:2] Set("SIP/my.own.ip.
address-0000004d", "DID=95011972597633694") in new stack
-- Executing [95011972597633694@from-sip-external:3] Goto("SIP/my.own.ip
.address-0000004d", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/my.own.ip.address-
0000004d", "0?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,5)
-- Executing [s@from-sip-external:5] Set("SIP/my.own.ip.address-0000004d
", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2015-09-29 13:12:52.922 CDT.
-- Executing [s@from-sip-external:6] Log("SIP/my.own.ip.address-0000004d
", "WARNING,"Rejecting unknown SIP connection from 212.83.I86.3"") in new
stack
[2015-09-29 13:12:37] WARNING[4287][C-0000004c]: Ext. s:6 @ from-sip-
external: "Rejecting unknown SIP connection from 212.83.I86.3"
-- Executing [s@from-sip-external:7] Answer("SIP/my.own.ip.address-
0000004d", "") in new stack
-- Executing [s@from-sip-external:8] Wait("SIP/my.own.ip.address-
0000004d", "2") in new stack
-- Executing [s@from-sip-external:9] Playback("SIP/my.own.ip.address-
0000004d", "ss-noservice") in new stack
-- Playing 'ss-noservice.ulaw' (
language 'en')
-- Executing [s@from-sip-external:10] PlayTones("SIP/my.own.ip.address-
0000004d", "congestion") in new stack
-- Executing [s@from-sip-external:11] Congestion("SIP/my.own.ip.address-
0000004d", "5") in new stack
== Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
-- Executing [h@from-sip-external:1] Hangup("SIP/my.own.ip.address-
0000004d", "") in new stack
== Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
[2015-09-29 13:13:09] WARNING[2040]: chan_sip.c:4024 retrans_pkt:
Retransmission timeout reached on transmission
895273fdfb2906afa756789b2b66d3f6 for seqno 1 (Critical Response) -- See
https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions
Packet timed out after 32000ms with no response |
j********2 发帖数: 4438 | 15 连的还是你的5060,5112是对方的端口。
你开着asterisk,如果想别人从外部网络call你,那对方自然会跑来连你的5060。但是
如果你配置不对的话,别有用心的人就会不断尝试从外部网络以guest的方式通过你的
trunk去call收费国际收费号码。一旦你的安全没有做好,对方成功call的话,那吸掉
的话费就进了别人的口袋。
看你的log是正常的,所以不用担心。研究一下fail2ban针对asterisk的规则自动
封,或者干脆不管,没啥大碍。但得确定你配置好没有任何洞。 |