IPTables et Asterisk

[themadmax]

Bonjour,

Après avoir subit une attaque sur mon serveur j'ai mis en place des règles stricts sur mon serveur Asterisk. Seulement depuis j'ai des déconnexions au bout de 5/10mins, que je n'avais bien sur pas avant.

Version Asterisk 1.6.0.26-FONCORE-r78 / Linux 2.6.18-164.11.1.el5
Asterisk est configuré avec 3 trunks SIP, et 10 téléphones SIP.

Probleme de déconnexion dans /var/log/asterisk/full

Code:

[Dec 10 10:51:11] NOTICE[4028] chan_sip.c: Peer 'xxx' is now UNREACHABLE!  Last qualify: 58
[Dec 10 10:51:19] NOTICE[4028] chan_sip.c:    -- Registration for 'xxx@sip.xxx.net' timed out, trying again (Attempt #2)
[Dec 10 10:51:50] NOTICE[4028] chan_sip.c: Peer 'xxx' is now Reachable. (1752ms / 2000ms)

Voici la configuration de mon iptables:

Code:

# iptables -L -v -n
Chain INPUT (policy DROP 111 packets, 7006 bytes)
 pkts bytes target     prot opt in     out     source               destination
 269K  156M ACCEPT     udp  --  *      *       xxx/23     0.0.0.0/0           udp dpt:5060
5865K 1171M ACCEPT     udp  --  *      *       xxx/23     0.0.0.0/0           udp dpts:10000:20000
8060K 1715M ACCEPT     all  --  eth0   *       192.168.10.0/24      0.0.0.0/0
 771K  179M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 231K   14M LOGGING    all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 13M packets, 2946M bytes)
 pkts bytes target     prot opt in     out     source               destination
 175K   12M ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
 226K   14M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
1108K  382M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain LOGGING (1 references)
 pkts bytes target     prot opt in     out     source               destination
18904 1143K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 2/min burst 5 LOG flags 0 level 4 prefix `IPTables-Dropped: '
 231K   14M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Donc normalement je log tous les drops dans un fichier, pourtant dans celui-ci il n'y a rien correspondant à cette déconnexion.

Merci d'avance pour toutes infos, qui pourrai éclaircir mon probleme.

[jean]

question con... bien que tu jettes les paquest via iptables, l'attaque peut continuer et saturer ton lien IP, et donc créer cela...

si tu réouvre iptables, les attaques reprennent elles - si oui, c''est surement ca... et ca peut mettre du temps à ce que le gars lache l'affaire

pour le futur:
http://www.asterisk-france.org/showt...light=fail2ban
http://www.asterisk-france.org/showt...light=fail2ban

[Reaper]

Regarde la bande passante avec "iftop" et mesure le debit.

[themadmax]

question con... bien que tu jettes les paquest via iptables, l'attaque peut continuer et saturer ton lien IP, et donc créer cela...

si tu réouvre iptables, les attaques reprennent elles - si oui, c''est surement ca... et ca peut mettre du temps à ce que le gars lache l'affaire

pour le futur:
http://www.asterisk-france.org/showt...light=fail2ban
http://www.asterisk-france.org/showt...light=fail2ban

Les logs du firewall n'affiche aucune attaque pour le moment.

[themadmax]

Regarde la bande passante avec "iftop" et mesure le debit.

Je regarde de ce coté mais mon install Trixbox Centos 5.8 ne connect pas le packet iftop...
Bien que tout fonctionne sans le firewall, je ne pense pas que le débit soit modifier par le firewall.

[jean]

les paquets loggés & droppés apparaissent normalement dans le fichier /var/log/messages

Code:

Dec 11 08:53:38 <<host>> kernel: IN=eth0 OUT= MAC=00:22:19:61:3f:ca:00:12:ef:21:7a:3f:08:00 SRC=69.162.68.3 DST=192.168.1.1 LEN=438 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=5114 DPT=5060 LEN=418

sinon, qu'entends tu par déconnexion ? quel message ? perte enregistrement ? qui perd qui ?

J