freeswitchforum.com https://freeswitchforum.com/ |
|
защита от взлома учеток снаружи? https://freeswitchforum.com/viewtopic.php?f=6&t=966 |
Страница 2 из 2 |
Автор: | Demon [ 26 сен 2019 14:10 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
ок, спасибо. А можно в двух словах пояснить, как это может влиять на то что произошло? |
Автор: | Vlad1983 [ 26 сен 2019 14:49 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
"It is possible to automatically add users with a CIDR attribute to an ACL list. This is particularly useful for authenticating people by static IP address instead of using challenge authentication. ... apply-inbound-acl Allow users to make calls from a particular cidr without authenticating ... apply-register-acl Allow users to register from a particular cidr without authenticating" В случае c UDP исходящий IP подменяется легко и проскакивают по этим ACL в дефолтный контекст заодно проверить это "accept-blind-auth accept any authentication without actually checking (not a good feature for most people)" |
Автор: | Demon [ 26 сен 2019 15:02 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
accept-blind-auth - отключен, его первым проверил. спасибо, теперь примерно понятно куда смотреть! |
Автор: | NiOl [ 27 сен 2019 19:03 ] |
Заголовок сообщения: | Re: защита от взлома учеток снаружи? |
Похожая ситуация у соседей. Плохо понимаю логику работы внешних соединений, а работу FS почти совсем не понимаю ))) У людей примитивный рутер, пробросить порты сложно - работает через раз, т.е. "легально" подключиться к АТС снаружи возможности нет, однако, сорванцы из европы (судя по адресам и по номерам, на которые пытаются звонить), прекрасно проходят через рутер и попадают на АТС, перебирают внутренние номера, пытаются на них звонить (успешно), главное - щупают, как попасть наружу... Полностью закрыться от засранцев не удалось, но добавил правил на звонки: поскольку пользуемся "Задармами", звонки должны поступать с "sip.zadarma.com", на номер "хххххх" - внутренний номер учетки в "Задормах". Так же исходящие номера должны содержать 11 цифр включая "8" за границу звонков они не делают, иначе придется еще что-нибудь придумывать. Если до этого засранцы просто не могли позвонить за границу настройками в л/к оператора, то после добавления этих правил стали "отлетать" на самом FS. <section name="dialplan"> <context name="zadarma"> <extension name="zadarma-in"> <condition field="${sip_from_host}" expression="^sip\.zadarma\.com$"/> <condition field="${destination_number}" expression="^хххххх$"/> <!-- хххххх - номер в Задормах --> <condition field="${ani}" expression="^\+?(\d{11})$"> <!-- разрешено только 11 цифр --> ... ... <extension name="redirect"> <!-- Перевод входящего (городского) на внутренний --> <condition field="${sip_from_host}" expression="^sip\.zadarma\.com$"/> <condition field="${destination_number}" expression="^([12]\d{2})$"> <!-- внутренние номера 1хх и 2хх --> <condition field="${ani}" expression="^\+?\d{11}$"/> зы: повторюсь, до сих пор не понимаю, как работает FS, нормальной литературы на русском не нашел, потому решение, вероятно, корявое изначально. |
Страница 2 из 2 | Часовой пояс: UTC + 4 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |