Записки Админа

Хотелось бы рассказать, как усложнить злом Астериск при помощи fail2ban.

Эта утилита мониторит логи на предмет вхождения определенных шаблонов, а потом при помощи iptables или другого фаервола банит IP.

Приведу пример конфигурации:

cat asterisk.conf
# Fail2Ban configuration file
# $Revision: 250 $
[INCLUDES]
# Read common prefixes. If any customizations available — read them from
# common.local
#before = common.conf
[Definition]

failregex = NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ — Wrong password
NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ — No matching peer found
NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ — Username/auth name mismatch
NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ — Device does not match ACL
NOTICE.* .*: Registration from ‘.*’ failed for ‘<HOST>’ — Peer is not supposed to register
NOTICE.* <HOST> failed to authenticate as ‘.*’$
NOTICE.* .*: No registration for peer ‘.*’ \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for ‘.*’ (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
ignoreregex =

этот файлик должен лежать в /etc/fail2ban/filter.d(если вы используете Debian).

в jail.conf прописываем:

[asterisk-iptables]
enabled = true
filter = asterisk
action = shorewall
logpath = /var/log/asterisk/full
maxretry = 5
bantime = 259200

тут я думаю все тоже понятно.

единственное, нужно будет поменять поле action = на нужное вам. все доступные action лежат в /etc/fail2ban/action.d

Извиняюсь за сумбурность, если есть вопросы, задавайте.