asterisk.ru

Добрый день\ночь.

Поставил астер, прописал юзеров, транки,маршруты.
Всьо работает.
Ушел.
Пришел потом, через 2-3 дня.
Смотрю логи астера, там забито таким сообщением:

manager.c: 62.138.14.136 failed to pass IP ACL as 'admin'
manager.c: 62.138.14.136 failed to authenticate as 'admin'
acl.c: Manager User ACL: Rejecting '62.138.14.136' due to a failure to pass ACL '(BASELINE)'

ип адрес 62.138.14.136 не мой, понятно что его ACL не пропускает.
добавил еще правило в fail2ban, ужесточил iptables, который по невнимательности был отключен
Больше в логах такого нет.
Однако выключая иптаблес - это чудо опять лезет. Пытаясь логиниться с юзером 'FPBX'

Вопрос в следующем. Как избавиться от указаного выше ?

Спасибо за советы!

Биндить порт менеджера 5038 на локальный адрес 127.0.0.1
И проверить доступность http-менеджера из-вне.

Wapo писал(а):Биндить порт менеджера 5038 на локальный адрес 127.0.0.1
И проверить доступность http-менеджера из-вне.

астер живет снаружи - менеджер доступен.
биндить наверное, не выход. его fail2ban ловит по фильтру.
сда'тся мне какойто жучара в скрипты прилез, раз свой ип пишет и перебирает юзеров...

kramer75 писал(а): Больше в логах такого нет.
Однако выключая иптаблес - это чудо опять лезет.

Закрываю кран - вода не течёт. Но стоит мне открыть кран - опять течёт вода! Как это может быть?
Вопрос в следующем: а зачем отключать iptables?

ded писал(а):

kramer75 писал(а): Больше в логах такого нет.
Однако выключая иптаблес - это чудо опять лезет.

Закрываю кран - вода не течёт. Но стоит мне открыть кран - опять течёт вода! Как это может быть?
Вопрос в следующем: а зачем отключать iptables?

теперь он включен всегда. 2-3 дня я забыл его включить - чтото пролезло. теперь хочется от того что пролезло избавиться.
ведь неизвестны возможности того жука, раз оно уже внутри - натворит чего еще.

При чем тут "внутри".
iptables шикарно ручками настраивается по принципу ВСЕ запрещено, ну а перед этим "ну вот эта сеть пусть танцует".
Тоже относится и к вэб-морде fpbx.

Полагаться на fail2ban сильно не приходится. Я делаю проще - обговорили время когда чел из израиля начнет коннектится, открыл ВСЕМ порт - проверил откуда идут запросы, закрыл ВСЕ, а эту подсеть разрешил. Делов на пять минут зато сон спокойнее.

И с чего вы взяли, что "кто то уже внутри"?
Переводить данные сообщения пробовали?

whoim писал(а):И с чего вы взяли, что "кто то уже внутри"?
Переводить данные сообщения пробовали?

перевести сообщения это первое, что пришло на ум )
поскольку не знаю, как устроен модуль manager.c второе, что пришло на ум- спросить того, кто знает в каком случае выдаются подобные сообщения )
логически оценивая, что вероятно, Вы уже встречались с подобным сообщением, предполагаю это внешняя тупая атака перебора дефолтных паролей FreePBX снаружи

Не надо полностью цитировать предыдущее сообщение.
Смысла в этом нет, уменьшает только отношение полезный сигнал / шум.

Запрос авторизации ami не был пропущен, поскольку не удовлетворяет правилу ACL (запрещён по адресу)