利用iptables和fail2ban防止freeswitch服务器被攻击

最新推荐文章于 2024-05-30 23:40:33 发布
最新推荐文章于 2024-05-30 23:40:33 发布
阅读量838 收藏 6
点赞数
文章标签: 服务器 网络 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abner_xf/article/details/128940218
版权

freeswitch放在公网上面很容易被攻击,除了修改freeswitch的默认端口及默认密码等措施外,还可以利用服务器的防火墙防止服务被攻击。其中iptables可以提前把国内ip加入白名单,这样国外ip就不能访问,然后利用fail2ban可以动态读取日志,如果登录失败动态设置黑名单,加强安全设置。记录一下,免得后面搞忘了

  1. 下载ipset服务

apt install ipset

  1. 恢复自定义国内ip及本地ip网段的配置文件 (国内ip段一直在更新,可以参考后面链接生成,注意除了国内ip段还必须加上局域网及本地访问的ip段)

ipset restore < ./ipset.conf

示例添加ip段方法(我的是自定义的china链,如果是其他链可以换名字)

ipset add china 192.168.0.0/16

如果更新过需要重新保存至本地,重启服务器需要重新加载一下文件

ipset save china > /etc/ipset.conf

重置iptables规则

iptables -F  # 清除预设链中规则
iptables -X  # 清除自定义链中规则

iptables -A INPUT -i lo -j ACCEPT                                  # 允许来自本机的全部连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   # 允许已建立的连接不中断
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT       # 允许icmp协议,即允许ping服务器
iptables -A INPUT -m set ! --match-set china src -j DROP           # 匹配china链,非国内IP则直接丢弃包


根据需要配置
iptables -A INPUT -p udp --dport 5060 -j ACCEPT                    # 允许UDP协议的5060端口
iptables -A INPUT -p udp --dport 20000:30000 -j ACCEPT             # 允许UDP协议的20000-30000端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT                      # 允许TCP协议的80端口
iptables -A INPUT -p tcp --dport 443 -j ACCEPT                     # 允许TCP协议的443端口

iptables -A INPUT -j DROP                                          # 未匹配以上规则的请求直接丢弃
iptables -A OUTPUT -j ACCEPT                                       # 允许全部出网数据包
iptables -A FORWARD -j DROP                                         # 不允许Iptables的FORWARD转发

参考设置文章,感谢大佬

第二步,安装fail2ban

sudo apt update
安装fail2ban服务
sudo apt install fail2ban
cd /etc/fail2ban
由于每次更新都会重置jail.conf文件,所以拷贝一个本地文件
sudo cp jail.conf jail.local

设置一个自定义的freeswitch的配置
cd /etc/fail2ban/jail.d
vim freeswitch.local

文本里面的内容为

[freeswitch]
enabled = true  #开机服务
port  = 5060,5061 #freeswitch的注册地址,需要根据配置的来,现在这个是默认的,正常情况下生成环境一定要换端口
logpath = /home/free/log/freeswitch.log   #freeswitch的日志文件,需要根据实际修改,我的是docker挂载的文件夹
maxretry = 5  #最大错误次数
findtime = 10m #在10分钟内内出现规定次数就开始工作
bantime = 10m  #禁止用户IP访问规则里面配置的端口10分钟

freeswitch要记得开启日志,在internal.xml里面

<param name="log-auth-failures" value="true"/>

fail2ban还支持很多服务,保留sshd等等,也可以写自定义的,只要设置好匹配规则就好了

至此大功告成,就可以开始模拟攻击实验了

不知道为啥我访问不了http://www.ipdeny.com/ipblocks/data/countries/cn.zone ,所以只能从http://ipblock.chacuo.net/view/c_CN 这个里面下载国内ip网段

听雪的小峰
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
freeswitch被外国IP攻击盗打的防护措施
HanJiezZ的博客
03-15 5725
SIP攻击很常见,特别是各大云服务器,基本上开了个公网IP绑定到实例机器就会被外国IP一遍怼。 防范也容易,就是把外国IP禁掉。 实现iptables+ipset,只允许中国IP访问本机,也就实现了封禁国外IP的效果。 优点:匹配迅速,免去iptables单链匹配。 具体操作如下: #安装ipset: RedHat:yum install ipset Debian:apt-ge...
CentOS fail2ban 安全防护加固 —— 筑梦之路
筑梦之路
07-15 1027
CentOS fail2ban安全防护加固——筑梦之路。
centos防暴力登录解决思路【ssh】【fail2ban】【docker】
最新发布
weixin_42584613的博客
05-30 343
主要讲了fail2ban的配置
开源的电信堆栈软件 FreeSwitch 中存在五个漏洞
smellycat000的专栏
11-04 1067
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员公开了位于开源的电信堆栈软件 FreeSwitch 中五个漏洞的详情。这些漏洞都是由德国电信安全咨询公司 Enable Sec...
Freeswitch学习笔记:配置白名单
叶炎灵的博客
04-15 1111
ACL是在conf/autoload_configs/acl.conf.xml中配置的,其中domains的默认配置如下: 注:conf/sip_profiles/internal.xml <param name="apply-inbound-acl" value="domains"/> 中的**value=“domains”**与 conf/autoload_configs/acl.conf.xml <list name="domains" default="deny"> 中的
SIP2Ban-for-Freeswitch:使用 Check_MK 在 FreeSwitch 中避免 SIP 和 RTP 攻击
06-05
SIP2Ban-for-Freeswitch 使用 Check_MK 在 FreeSwitch 中避免 SIP 和 RTP 攻击者 #许可信息:阅读许可 #项目源码可以从### 下载 #作者和贡献者 香农明素万 报告的错误或请求的新功能可以发送到 #快照 ##Check_MK 代理安装和配置 在远程节点安装 Check_MK 代理 # yum install xinetd check-mk-agent 允许 Check_MK 服务器访问 check_mk_agent # vim /etc/xinetd.d/check-mk-agent # configure the IP address(es) of your Nagios server here: only_from = 192.168.10.10 向 /etc/sysconfig/iptables 添加新规则 # vim
docker-fail2ban:基于Alpine Linux的Fail2ban Docker映像
03-17
图像登记处图像crazymax/fail2banghcr.io/crazy-max/fail2ban 提供此图像的以下平台: $ docker run --rm mplatform/mquery crazymax/fail2ban:latestImage: crazymax/fail2ban:latest * Manifest List: Yes * ...
配置fail2ban对Apache服务器进行安全防护的方法
01-20
生产环境中的 Apache 服务器可能会受到不同的攻击攻击者或许试图通过暴力攻击或者执行恶意脚本来...fail2ban是一款入侵防御工具,可以基于系统日志检测不同的工具并且可以自动采取保护措施比如:通过iptables禁止i
如何配置fail2ban保护Apache HTTP服务器.docx
09-27
fail2ban可以简化系统管理员的工作,自动检测和防止攻击。通过配置fail2ban,可以保护Apache HTTP服务器不受攻击。 Apache HTTP服务器日志功能 Apache HTTP服务器随带全面的日志功能,可以捕获及记录表明此类攻击...
fail2ban 安装与设置
06-09
fail2ban 是一款防火墙工具,主要用于保护 Linux 服务器免受恶意攻击。下面是 fail2ban 的安装和设置过程。 安装 fail2ban 首先,我们需要下载 fail2ban 的安装包。我们可以使用 wget 命令从 SourceForge 下载 ...
FreeSwitch防止sip攻击盗打的设置
shanghaimoon的专栏
03-22 2084
FreeSwtich作为一款开源的软交换控制系统,由于其出色的性能和稳定性,已经在全世界范围内得到了广泛的应用,包括一些大型的公司也都在使用。当FreeSwitch一旦部署在公有云上,有经验的使用者很快都会发现,有大量的非正常呼叫请求消息会对系统进行攻击,这有可能会造成系统被盗打线路的风险。其中几乎全部的攻击均来自于国外,本篇文章从系统防火墙的角度来配置如果防范来自国外的SIP攻击,文章的系统环境为Centos7,防火墙使用自带的firewalld。 第一步,我们配置一个名字...
freeswitch安全问题研究-从入门到RCE
fly夏天的博客
08-30 1210
freesiwtch rce的方法及防护策略研究
FreeSwitch防止sip攻击盗打
weixin_38921966的博客
01-21 1866
freeswitch防SIP攻击和盗打
FreeSWITCH 简单图形化界面10--关于VOIP安全的小措施
jia198810的博客
06-07 575
CentOS7和CentOS8 FreeSWITCH 1.10.7 简单图形化界面10--关于VOIP安全的小措施1、获取来源IP的地理位置2、编写脚本3、添加到SIP服务器4、测试一下 图形界面安装,请参考https://blog.csdn.net/jia198810/article/details/118877824 如果SIP服务器在公网上面,那么从服务器开机,就会受到各种牛逼人士的骚扰。 如,asterisk的恶意注册: 如,利用SIP工具,直接进行IP呼叫,造成asterisk RTP端口耗
FreeSWITCH跨NAT部署配置详解
用最简单的方式说最重要的事!服务器、存储、云计 算、A智能的大数据产品、游戏开发技术。致力于广 大开发者、政企用户、各项机构等,构建云上世界提供全方位云计算解决方案。旨在打造差异化的开放式闭环生态系统帮助用户快速构建稳定、安全的云计算环境。
02-15 2734
本文仅讨论FreeSWITCH部署在NAT之后(里面)这种场景,假设私网地址与公网地址有一个确定的映射关系。这里只涉及mod_sofia(SIP信令及媒体)相关配置,其他模块不在本文讨论之列。
fail2ban iptables ipset 对比 centos 防御 SSH 服务器的暴力破解攻击
贡献比索取更好
04-17 1107
声明: 文中提到的链接。请网友自动识别。 关于本文首页都是一字一句敲出的。如有错别字,不要见怪。程序员都没有几个会写的,能看都行。 文中提到的 3Q影院  www.3qmv.com 域名。目前为电影。本电影站,作为学习安防 参考。如遇版权问题 请转告站长。我们立即删除处理。如需要看电影请购买有版权的地方观看。更多的学习 你会或得更多。也是为了记录面得以后忘记了。 都知道搜索引擎都TM铺天盖地的转载...
FreeSWITCH 呼叫接入慢:恶意IP攻击
hanyingzhong的专栏
06-24 2486
FreeSWITCH 呼叫接入慢 网上的大多数方法是修改/etc/freeswitch/dialplan/default.xml中field="${default_password}"规则下的休眠时间,但只有默认密码为1234时,该规则才会被触发。在前面我们已经修改了默认的密码,这里修改该规则将没有任何作用。 <condition field="${default_passwo...
fail2ban
wang94sh11b3的博客
10-18 394
fail2ban
Freeswitch学习笔记:ACL访问控制,限制IP访问 更改默认密码 提高安全性
热门推荐
irizhao的专栏
04-17 1万+
近期发现很多美国,英国,加拿大的IP在连接FS,肯定要对他们进行限制。一是可以使用防火墙控制这些垃圾国家的访问(直接限制A类地址,哈哈),二是ESL只允许可信任的IP访问。另外还有号码的黑名单设置。 一、防火墙设置:最安全,直接限制于外: 二、ACL的IP设置: 在生产环境中,只考虑把电话接通还是不够的,还得考虑安全性。上面的方法只使用5080端口从public Dia...
iptables fail2ban 删除ip
05-31
要使用fail2ban删除IP,请执行以下步骤: 1.使用以下命令列出当前被ban的IP列表: ``` sudo fail2ban-client status ``` 其中,`<jail-name>`是要查看的jail的名称,例如sshd或apache。 2.从列表中找到要删除的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值