freeswitch放在公网上面很容易被攻击,除了修改freeswitch的默认端口及默认密码等措施外,还可以利用服务器的防火墙防止服务被攻击。其中iptables可以提前把国内ip加入白名单,这样国外ip就不能访问,然后利用fail2ban可以动态读取日志,如果登录失败动态设置黑名单,加强安全设置。记录一下,免得后面搞忘了
下载ipset服务
apt install ipset
恢复自定义国内ip及本地ip网段的配置文件 (国内ip段一直在更新,可以参考后面链接生成,注意除了国内ip段还必须加上局域网及本地访问的ip段)
ipset restore < ./ipset.conf
示例添加ip段方法(我的是自定义的china链,如果是其他链可以换名字)
ipset add china 192.168.0.0/16
如果更新过需要重新保存至本地,重启服务器需要重新加载一下文件
ipset save china > /etc/ipset.conf
重置iptables规则
iptables -F # 清除预设链中规则
iptables -X # 清除自定义链中规则
iptables -A INPUT -i lo -j ACCEPT # 允许来自本机的全部连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 允许已建立的连接不中断
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # 允许icmp协议,即允许ping服务器
iptables -A INPUT -m set ! --match-set china src -j DROP # 匹配china链,非国内IP则直接丢弃包
根据需要配置
iptables -A INPUT -p udp --dport 5060 -j ACCEPT # 允许UDP协议的5060端口
iptables -A INPUT -p udp --dport 20000:30000 -j ACCEPT # 允许UDP协议的20000-30000端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许TCP协议的80端口
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许TCP协议的443端口
iptables -A INPUT -j DROP # 未匹配以上规则的请求直接丢弃
iptables -A OUTPUT -j ACCEPT # 允许全部出网数据包
iptables -A FORWARD -j DROP # 不允许Iptables的FORWARD转发
第二步,安装fail2ban
sudo apt update
安装fail2ban服务
sudo apt install fail2ban
cd /etc/fail2ban
由于每次更新都会重置jail.conf文件,所以拷贝一个本地文件
sudo cp jail.conf jail.local
设置一个自定义的freeswitch的配置
cd /etc/fail2ban/jail.d
vim freeswitch.local
文本里面的内容为
[freeswitch]
enabled = true #开机服务
port = 5060,5061 #freeswitch的注册地址,需要根据配置的来,现在这个是默认的,正常情况下生成环境一定要换端口
logpath = /home/free/log/freeswitch.log #freeswitch的日志文件,需要根据实际修改,我的是docker挂载的文件夹
maxretry = 5 #最大错误次数
findtime = 10m #在10分钟内内出现规定次数就开始工作
bantime = 10m #禁止用户IP访问规则里面配置的端口10分钟
freeswitch要记得开启日志,在internal.xml里面
<param name="log-auth-failures" value="true"/>
fail2ban还支持很多服务,保留sshd等等,也可以写自定义的,只要设置好匹配规则就好了
至此大功告成,就可以开始模拟攻击实验了
不知道为啥我访问不了http://www.ipdeny.com/ipblocks/data/countries/cn.zone ,所以只能从http://ipblock.chacuo.net/view/c_CN 这个里面下载国内ip网段