С началом известных событий сильно возросло количество атак.
В принципе file2ban вполне успешно отбивается, но прилетающие на почту уведомления в большом количестве в течение дня раздражают глаз.
Часть особо настойчивых заблокировали по user agent сразу на входе правилами типа:
iptables -I INPUT 4 -p udp -m udp --dport 5060 -m string --string "имя" --algo bm --to 65535 -j DROP
правда сделать это можно только с такими, которые крайне редко встречаются. Если стоит какой-нибудь 3CX, то уже все...
Порывшись еще в sip-сообщениях, заметила, что в основном ip-меняется только внешний, внутренний если и меняется, то гуляет в пределах одной подсети.
Вот например:
Contact URI: sip:360@10.4.0.179:64924
User-Agent: FPBX-15.0.17.55(16.12.0)
Contact: <sip:178@10.4.0.94:63904
User-Agent: FPBX-15.0.17.55(16.12.0)
Я, к сожалению, не гуру iptables. По сему вопрос, можно там правило прописать вида: если пакет содержит строку, походящую под шаблон "sip:ХХХ@10.4.0.", то заблокировать.
Понимаю, что это игра в кошки-мышки, но, блин, бесит.....
