Ваши данные SIP аккаунта (логин и пароль) ВСЕГДА знают 2 стороны — VOIP провайдер, который вам их и выдал и софтфон, в который вы их вносите.
Это — ВСЕГДА.
А как же, например, md5secret ??
Одна сторона «ВСЕГДА» знает — клиент.
Ну например, для iptables, с помощью замечательного модуля recent:
-A ANTIFLOOD -p tcp -m tcp -m multiport --dports 22,23 -m state --state NEW -j ANTIFLOOD-SSH-TELNET
# с одного ip - не более 5-ти новых попыток за 2 минуты, иначе - в следующее правило "-2"
-A ANTIFLOOD-SSH-TELNET -m recent --update --seconds 120 --hitcount 5 --name SSH --mask 255.255.255.255 --rsource -j ANTIFLOOD-SSH-TELNET-2
-A ANTIFLOOD-SSH-TELNET -m recent --set --name SSH --mask 255.255.255.255 --rsource
-A ANTIFLOOD-SSH-TELNET -j RETURN
# Пишем в лог тех, кого сейчас забаним:
-A ANTIFLOOD-SSH-TELNET-2 -p tcp -m tcp -m recent --update --seconds 7200 --hitcount 1 --name SSH2 --mask 255.255.255.255 --rsource -j LOG --log-prefix "ANTIFLOOD-SSH-TELNET-2: "
# И пару часов отшиваем, чтоб охладить пыл...
-A ANTIFLOOD-SSH-TELNET-2 -p tcp -m tcp -m recent --update --seconds 7200 --hitcount 1 --name SSH2 --mask 255.255.255.255 --rsource -j REJECT --reject-with tcp-reset
# tcp reset, чтобы не висели полуоткрытые соединения, или же DROP
-A ANTIFLOOD-SSH-TELNET-2 -m recent --set --name SSH2 --mask 255.255.255.255 --rsource
-A ANTIFLOOD-SSH-TELNET-2 -j RETURN
С временем --update --seconds 7200 лучше поиграть в обе стороны.
Потом по крону можно парсить логи и добавлять особо рьяных в ipset.
А правило -A INPUT -m set --match-set dropips src -j DROP
повесить ближе к началу портянки iptables.
Видел еще ближе к Москве. Там в деревне огромной популярностью пользуется стационарный телефон.
АТСка (скорее всего) — координатная.
Кому нужен интернет — имеют VSAT, но таких мало.
… А можно использовать -m recent для тех кто ломится на порты 5060-6062. Можно вообще записывать временно в ipset тех кто успешно зарегался на sip сервере. Костыли, конечно, деревянные, зато работают железно…
Забыл сказать. Упомянутые 2 правила стоят на маршрутизаторе (в -t raw для «подключения» хелперов, и в FORWARD для разрешения UDP в сторону SIP сервера).
Насчет TLS… по крайней мере до нужного порта пишет [ASSURED] mark=0 helper=sip use=1
Не заглядывал в исходники, но у меня он работает с RTP при iptables -t raw -A PREROUTING -s XXXXXXX -i ethX -p tcp -m tcp --dport 5061:5062 -j CT --helper sip (Ядра 3.1Х и 4.ХХ)
Не совсем по теме, конечно, но ведь просто Linux тут тоже рассматривается… А если для «вычленения» RTP использовать helper? Типа iptables -A… -m conntrack --ctstate RELATED -m helper --helper sip… --set-dscp или --set-mark.
РКН ни при чем. А «писаками» движет желание выслужиться, или изобразить кипучую продуктивную деятельность. Кроме того, есть еще желание заработать очки на «борьбе» за или против чего угодно, будь то хоть дорожные знаки или банки из-под пива. Осталось еще заняться правкой календаря…
… А Zoiper сразу не понравился, еще с первой установки.
Ну и было с чем сравнивать, конечно. Другой Астер находился в моей сети.
А как же, например, md5secret ??
Одна сторона «ВСЕГДА» знает — клиент.
Пробовал держать * на AWS несколько лет назад. ДЦ в Ирландии, ~50мс, если не ошибаюсь. Некомфортно.
(directmedia=no)
Оно еще какое-то другое бывает?
-A ANTIFLOOD -p tcp -m tcp -m multiport --dports 22,23 -m state --state NEW -j ANTIFLOOD-SSH-TELNET
# с одного ip - не более 5-ти новых попыток за 2 минуты, иначе - в следующее правило "-2"
-A ANTIFLOOD-SSH-TELNET -m recent --update --seconds 120 --hitcount 5 --name SSH --mask 255.255.255.255 --rsource -j ANTIFLOOD-SSH-TELNET-2
-A ANTIFLOOD-SSH-TELNET -m recent --set --name SSH --mask 255.255.255.255 --rsource
-A ANTIFLOOD-SSH-TELNET -j RETURN
# Пишем в лог тех, кого сейчас забаним:
-A ANTIFLOOD-SSH-TELNET-2 -p tcp -m tcp -m recent --update --seconds 7200 --hitcount 1 --name SSH2 --mask 255.255.255.255 --rsource -j LOG --log-prefix "ANTIFLOOD-SSH-TELNET-2: "
# И пару часов отшиваем, чтоб охладить пыл...
-A ANTIFLOOD-SSH-TELNET-2 -p tcp -m tcp -m recent --update --seconds 7200 --hitcount 1 --name SSH2 --mask 255.255.255.255 --rsource -j REJECT --reject-with tcp-reset
# tcp reset, чтобы не висели полуоткрытые соединения, или же DROP
-A ANTIFLOOD-SSH-TELNET-2 -m recent --set --name SSH2 --mask 255.255.255.255 --rsource
-A ANTIFLOOD-SSH-TELNET-2 -j RETURN
С временем --update --seconds 7200 лучше поиграть в обе стороны.
Потом по крону можно парсить логи и добавлять особо рьяных в ipset.
А правило
-A INPUT -m set --match-set dropips src -j DROPповесить ближе к началу портянки iptables.
Не админил винду очень давно. Но ведь в ней были и скорее всего, есть консольные утилиты установки прав… И никто не мешает в скрипте их использовать.
АТСка (скорее всего) — координатная.
Кому нужен интернет — имеют VSAT, но таких мало.
Насчет TLS… по крайней мере до нужного порта пишет [ASSURED] mark=0 helper=sip use=1
iptables -t raw -A PREROUTING -s XXXXXXX -i ethX -p tcp -m tcp --dport 5061:5062 -j CT --helper sip(Ядра 3.1Х и 4.ХХ)Правда, firewalld еще и надстройка над ipset…
(история про ведро яиц)