до астериска пакет не долетит. что значит "не сможет"?
Прошу прощения сразу не ответил, шефу срочно перкд выходными понадобился телевизор в кабинете, в том именно углу, в нише где идёт экранирование сэндвич панелью. Кабель каналы, видеть нехочет, пришлось ехать за wifi extender.
Проблема с RTP оказалась глубже.
На текущем инфре в железе был, оказывается скрипт добавляющий ежечасно правила в роутер.
Это всё упустили.
Invite-атаки и сканы на новом VPS не побеждаются никак, ни iptables, ни ebtables, ни blackhole, ни еще черт знает чем.
Решено было пока остаться на старом железе, и параллельно развернуть перед VPS с Астером VPS с Kamailio или OpenSIPS с настройкой фильтрации, буду разбираться, появилось время для этого.
Что касается прокидывания портов в reg.ru тп так и не ответила. Плюнул udp-пакетом с другой внешней машины, dump показал во всех случаях, что порты открыты 1к1. Уже яснее стала картина.
В любом случае, спасибо участникам группы Астерискеры потому, что даже наводящими вопросами и уточняющими мерами сразу направили в верном направлении по поиску проблем.
Спасибо большое!
А ничего не помогает больше, на всех уровнях. Ни полный запрет на весь трафик, кроме админского с конкретного IP, ни ebtables / ebtables, ни modprobe с netfilter, ни сброс всех соединений с полным выключением всех интерфесов на время, ни выключение Астериск. Анализ dump через wireshark, а также анализ логов firewall показал, что я нарвался на изощренного хакера, который использует сотни IP, прокси, сотни макадресов, частота и паттерны запросов постоянно меняются. Запросы минуют все возможные самые жесткие запреты на всех уровнях файерволлов, минуют Nat и инжектируются сразу в ядро Ubuntu, видимо из-за особенностей инфраструктуры reg.ru.
Если не использовать VPN, придётся пробовать скорее OpenSips, расположенный перед сервером Aster, сервер с OpenSips (с ним проще будет настроить анализ SIP-запросов, который будет пропускать далее в Астер только запросы с верными параметрами), помимо этого этот прокси-сервер будет ещё виртуальным роутером скорее всего, плюс обманки с эмулятором ложных ответов якобы от Астера.
Наверное как-то так пока это видится.
А ничего не помогает больше, на всех уровнях. Ни полный запрет на весь трафик, кроме админского с конкретного IP, ни ebtables / ebtables, ни modprobe с netfilter, ни сброс всех соединений с полным выключением всех интерфесов на время, ни выключение Астериск. Анализ dump через wireshark, а также анализ логов firewall показал, что я нарвался на изощренного хакера, который использует сотни IP, прокси, сотни макадресов, частота и паттерны запросов постоянно меняются. Запросы минуют все возможные самые жесткие запреты на всех уровнях файерволлов, минуют Nat и инжектируются сразу в ядро Ubuntu, видимо из-за особенностей инфраструктуры reg.ru.
Если не использовать VPN, придётся пробовать скорее OpenSips, расположенный перед сервером Aster, сервер с OpenSips (с ним проще будет настроить анализ SIP-запросов, который будет пропускать далее в Астер только запросы с верными параметрами), помимо этого этот прокси-сервер будет ещё виртуальным роутером скорее всего, плюс обманки с эмулятором ложных ответов якобы от Астера.
Наверное как-то так пока это видится.
А ничего не помогает больше, на всех уровнях. Ни полный запрет на весь трафик, кроме админского с конкретного IP, ни ebtables / ebtables, ни modprobe с netfilter, ни сброс всех соединений с полным выключением всех интерфесов на время, ни выключение Астериск. Анализ dump через wireshark, а также анализ логов firewall показал, что я нарвался на изощренного хакера, который использует сотни IP, прокси, сотни макадресов, частота и паттерны запросов постоянно меняются. Запросы минуют все возможные самые жесткие запреты на всех уровнях файерволлов, минуют Nat и инжектируются сразу в ядро Ubuntu, видимо из-за особенностей инфраструктуры reg.ru.
Если не использовать VPN, придётся пробовать скорее OpenSips, расположенный перед сервером Aster, сервер с OpenSips (с ним проще будет настроить анализ SIP-запросов, который будет пропускать далее в Астер только запросы с верными параметрами), помимо этого этот прокси-сервер будет ещё виртуальным роутером скорее всего, плюс обманки с эмулятором ложных ответов якобы от Астера.
Наверное как-то так пока это видится.
А ничего не помогает больше, на всех уровнях. Ни полный запрет на весь трафик, кроме админского с конкретного IP, ни ebtables / ebtables, ни modprobe с netfilter, ни сброс всех соединений с полным выключением всех интерфесов на время, ни выключение Астериск. Анализ dump через wireshark, а также анализ логов firewall показал, что я нарвался на изощренного хакера, который использует сотни IP, прокси, сотни макадресов, частота и паттерны запросов постоянно меняются. Запросы минуют все возможные самые жесткие запреты на всех уровнях файерволлов, минуют Nat и инжектируются сразу в ядро Ubuntu, видимо из-за особенностей инфраструктуры reg.ru.
Если не использовать VPN, придётся пробовать скорее OpenSips, расположенный перед сервером Aster, сервер с OpenSips (с ним проще будет настроить анализ SIP-запросов, который будет пропускать далее в Астер только запросы с верными параметрами), помимо этого этот прокси-сервер будет ещё виртуальным роутером скорее всего, плюс обманки с эмулятором ложных ответов якобы от Астера.
Наверное как-то так пока это видится.
Для обычного сисадмина это действительно оказалось всё сложно. Но tcpdump снимался уже для анализа деталей в wireshark, содержимого запросов.
Всё началось с того, что были массовые отображения запросов в sngrep, который как я понимаю показывает запросы после firewall и он показывал их при полном запрете на весь трафик на всех уровнях, кроме админского с конкретного единственного IP. В погоне за баном злоумышленника уже под 4 утра я забанил все входящие на локальную машину и потерял доступ вообще к VPS ?. Вот с утра восстановил через прямую админ консоль.
Чуть отдохну, (спал 4 часа) и пойду разбираться дальше. Но всё равно спасибо, замечание по ответам Астер - верное, нужно будет ещё раз посмотреть, но он отвечал на некоторые. Злоумышленник очень разнообразно проксируется, меняет идентификаторы sip-клиентов, которые всё больше похожи на реальные реги реальных софтфонов, используемых нами, меняет внешние и локальные IP, макадреса. Все - разные.
