ยังไม่เคยลองนะครับ
ลองดูตรง dest อ่ะครับ ลองใส่ , แล้วเพิ่มอีกหลายๆอีเมล์
ถ้าไม่เวอร์คก็แนะนำให้ใช้ alias อ่ะครับ ที่ว่าเราสร้าง email ปลอมๆขึ้นมาอันนึง ถ้าส่งไปที่อีเมล์นี้ก็ให้ mail server ส่งไปหลายๆอีเมล์ที่เราใส่ไว้
ไม่รู้ว่าเคยใช้หรือเปล่า ลองค้นใน google ดูครับ
VoIP Community of Thailand - เว็บบอร์ด VoIP Issabel, Elastix Asterisk FreePBX IPPhone VoIP Gateway Call Center IPPBX ของไทย โดยคนไทย เพื่อคนไทย
Issabel, VoIP, FreePBX, CentOS, IPPBX, IPPhone, Asterisk, Elastix, Elastix MT, GSM VoIP, GSM VoIP Gateway, OpenSIPS, SIP, H.323, Gateway, Softphone, Calling Card, Callback, A2Billing, VPS, VOS3000, VoipSwitch, FreePBX, 3CX Phone System and More...
ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk
13 โพสต์
• หน้า 2 จากทั้งหมด 2 • 1, 2
Re: ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk
โดย nuiz » 10 ธ.ค. 2010 09:50
** หากมีปัญหากับอุปกรณ์ที่ซื้อมาเองหรือบริการที่ทำขึ้นมาเอง ให้โพสต์ถามในเว็บบอร์ดนี้นะครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
- nuiz
- Diamond Member
- โพสต์: 7058
- ลงทะเบียนเมื่อ: 24 มี.ค. 2010 09:33
Re: ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk
โดย smartsoft » 12 ธ.ค. 2010 20:40
มา update เพิ่มครับ
ถ้าต้องการ ให้ fail2ban ทำการ alert ไปยัง e-mail มากกว่า 1 account
ให้กำหนดดังนี้ครับ
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=user1@domain.com user2@domain.com user3@domain.com, sender=sip-attacks@domain.com]
logpath = /var/log/asterisk/full
maxretry = 5
findtime = 60
bantime = 259200
ส่วนเรื่องการ unblock ip นั้น
หากเราทำการ สั่ง service iptables restart นั้ัน มันจะทำการ unblock ip ออกทั้งหมด รวมไปถึง rule ของ fail2ban ไปด้วย
ดังนั้น หากใช้คำสั่ง service iptables restart เราจะต้องสั่ง service fail2ban restart ด้วยทุกครั้ง เพื่อเพิ่ม rule ของ fial2ban เข้าไปยัง iptables
หากคุณไม่ต้องการ มันนั่ง restart service ทั้ง 2 ตัวนี้ แต่ต้องการ unblock ip ออก แค่ ip เดียวหล่ะ
ก็ให้ใช้คำสั่งนี้ครับ
# iptables -D fail2ban-<name> -s <ip> -j DROP ครับ
ซึ่งจะทำให้เราไม่ต้องทำการ restart service fail2ban แล้ว ip ที่โดน block อื่นๆ ก็ยังคงอยู่
จะเป็นการ unblock เฉพาะ ip เท่านั้นครับ
<name> คือ ชื่อ rule ที่เรากำหนดครับ
<ip> คือ ip address ครับ
example : # iptables -D fail2ban-ASTERISK -s 192.168.33.45 -j DROP
จากตัวอย่างเป็นการ unblock ip 192.168.33.45 ออก จาก rule fail2ban-ASTERISK ออก ครับ
ถ้าต้องการ ให้ fail2ban ทำการ alert ไปยัง e-mail มากกว่า 1 account
ให้กำหนดดังนี้ครับ
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=user1@domain.com user2@domain.com user3@domain.com, sender=sip-attacks@domain.com]
logpath = /var/log/asterisk/full
maxretry = 5
findtime = 60
bantime = 259200
ส่วนเรื่องการ unblock ip นั้น
หากเราทำการ สั่ง service iptables restart นั้ัน มันจะทำการ unblock ip ออกทั้งหมด รวมไปถึง rule ของ fail2ban ไปด้วย
ดังนั้น หากใช้คำสั่ง service iptables restart เราจะต้องสั่ง service fail2ban restart ด้วยทุกครั้ง เพื่อเพิ่ม rule ของ fial2ban เข้าไปยัง iptables
หากคุณไม่ต้องการ มันนั่ง restart service ทั้ง 2 ตัวนี้ แต่ต้องการ unblock ip ออก แค่ ip เดียวหล่ะ
ก็ให้ใช้คำสั่งนี้ครับ
# iptables -D fail2ban-<name> -s <ip> -j DROP ครับ
ซึ่งจะทำให้เราไม่ต้องทำการ restart service fail2ban แล้ว ip ที่โดน block อื่นๆ ก็ยังคงอยู่
จะเป็นการ unblock เฉพาะ ip เท่านั้นครับ
<name> คือ ชื่อ rule ที่เรากำหนดครับ
<ip> คือ ip address ครับ
example : # iptables -D fail2ban-ASTERISK -s 192.168.33.45 -j DROP
จากตัวอย่างเป็นการ unblock ip 192.168.33.45 ออก จาก rule fail2ban-ASTERISK ออก ครับ
- smartsoft
- Gold Member
- โพสต์: 80
- ลงทะเบียนเมื่อ: 11 มี.ค. 2010 09:44
Re: ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk
โดย nuiz » 17 พ.ค. 2011 22:47
อัพเดท..
ผมเพิ่ม rule นี้เข้าไปในไฟล์ /etc/fail2ban/filter.d/asterisk.conf ครับ
เพราะว่าเจอแบบนี้ในไฟล์ /var/log/asterisk/full
[2011-05-17 22:38:51] ERROR[3045] chan_sip.c: Peer 'Snow' is trying to register, but not configured as host=dynamic
[2011-05-17 22:38:51] NOTICE[3045] chan_sip.c: Registration from '"snow" <sip:snow@109.124.68.107>' failed for '80.243.190.98' - Peer is not supposed to register
เพิ่งสังเกตุเห็นหน่ะครับ ไอพี 80.243.190.98 นี้ส่ง message register มาถี่มากแบบว่าวินาทีนึงเป็นหลายสิบข้อความเลย และส่งมาทุกวินาที (สงสัยใช้สคริปต์ส่ง) จน log file ใหญ่เบ้อเริ่มเทิ่ม
ผมเพิ่ม rule นี้เข้าไปในไฟล์ /etc/fail2ban/filter.d/asterisk.conf ครับ
- โค้ด: เลือกทั้งหมด
NOTICE.*: Registration from '*.*' failed for '<HOST>' - Peer is not supposed to register
เพราะว่าเจอแบบนี้ในไฟล์ /var/log/asterisk/full
[2011-05-17 22:38:51] ERROR[3045] chan_sip.c: Peer 'Snow' is trying to register, but not configured as host=dynamic
[2011-05-17 22:38:51] NOTICE[3045] chan_sip.c: Registration from '"snow" <sip:snow@109.124.68.107>' failed for '80.243.190.98' - Peer is not supposed to register
เพิ่งสังเกตุเห็นหน่ะครับ ไอพี 80.243.190.98 นี้ส่ง message register มาถี่มากแบบว่าวินาทีนึงเป็นหลายสิบข้อความเลย และส่งมาทุกวินาที (สงสัยใช้สคริปต์ส่ง) จน log file ใหญ่เบ้อเริ่มเทิ่ม
** หากมีปัญหากับอุปกรณ์ที่ซื้อมาเองหรือบริการที่ทำขึ้นมาเอง ให้โพสต์ถามในเว็บบอร์ดนี้นะครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
- nuiz
- Diamond Member
- โพสต์: 7058
- ลงทะเบียนเมื่อ: 24 มี.ค. 2010 09:33
13 โพสต์
• หน้า 2 จากทั้งหมด 2 • 1, 2
ย้อนกลับไปยัง Asterisk SIP Server
ผู้ใช้งานขณะนี้
กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 18 ท่าน