У меня есть рабочая среда звездочки, но я получаю большой нежелательный трафик, как сканеры глотка людей, которые даже пытаются звонить как гость.
Я использую res_pjsip, конфигурация хранится в pjsip.conf. Но я не могу найти опции как alwaysauthreject
и allowguests
в этой конфигурации.
И я не могу найти ни один из параметров безопасности pjsip на Wiki. Только для chan_sip.
Кто-то может сказать мне, что эти опции присутствуют в этом драйвере? Или это у них есть ben, замененный другой функцией.
Заранее спасибо
Я нашел ответ.
alwaysauthreject
allowguests
Эти две функции больше не являются частью pjsip.conf и являются стандартными.
Кроме того, вам необходимо защитить свой сервер с помощью брандмауэра и fail2ban. . Безопасность должна выполняться на уровне ОС.
Непонятно, какой тип параметров безопасности вы ищете - поскольку упрощенные ограничения, такие как отказ гостя, требование регистрации и т. Д., Не уменьшат нагрузку, создаваемую сканерами SIP, хакерами, пытающимися проникнуть внутрь, и т. Д.
Если вы пытаетесь защитить свой сервер. Подробности см. на этой странице www.voip-info.org . Решения варьируются от базовых настроек сервера Asterisk до защиты периметра и расширенной безопасности, например подключаемых модулей Asterisk, которые проверяют исходный IP-адрес злоумышленников для блокировки географических областей, следят за эвристическими шаблонами атак и т. Д.
Вы обнаружите, что некоторые старые приложения / Плюсы борются с PJSIP, но некоторые полностью его поддерживают.
Согласно это :
Нет опции для «alwaysauthreject». Он всегда включен.
Не существует эквивалентной функциональности настроек для «домена» и «Allowexternaldomains».
Параметр «allowguest» всегда установлен на no, если вы не создаете конечная точка с именем «анонимная».
Параметры «запретить» и «разрешить» могут быть установлены в глобальной и конечной точках. основание.
Пример старой конфигурации:
alwaysauthreject=yes
domain = asterisk.mydomain.com
allowexternaldomains = no
allowguest = no
deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0
И как написал автор вопроса, вы должны использовать межсетевой экран и fail2ban
.
Вот используемые порты (взяты из здесь ):
4569 UDP - IAX / 2, перенаправить этот порт, если вы приобрели транкинг IAX, IAX может проходить через ваш брандмауэр проще, чем SIP
5060 UDP - SIP
10000 - 20000 UDP - SIP RTP Media (настраивается внутри rtp.conf
)