《使用fail2ban+iptables防范VOIP攻击》.doc

FreeSWITCH VOIP攻击防范说明 总体说明 使用fail2ban+iptables相结合，防范VOIP攻击。 Fail2ban安装与配置 安装Fail2ban 安装yum。（略） 安装EPEL源 #rpm -ivh /pub/epel/5/i386/epel-release-5-4.noarch.rpm C、安装fail2ban #yum install fail2ban 配置Fail2ban 配置日志级别及路径 文件：/etc/fail2ban/fail2ban.conf 默认fail2ban.conf里面就三个参数，而且都有注释。 #默认日志的级别 loglevel = 3 #日志的存放路径 logtarget = /var/log/fail2ban.log #socket的位置 socket = /tmp/fail2ban.sock 我们主要修改日志的存放路径，修改为/var/log/fail2ban.log Fail2ban全局配置 文件：/etc/fail2ban/jail.conf # vi /etc/fail2ban/jail.conf #忽略IP的范围 如果有二组以上用空白做为间隔 ignoreip = # 设定 IP 被封锁的时间(秒)，如果值为 -1，代表永远封锁 bantime = 600 # 设定在多少时间内达到 maxretry 的次数就封锁 findtime = 600 # 设定在多少时间内达到 maxretry 的次数就封锁 maxretry = 3 # 允许尝试的次数 上面设置的意思是如果在findtime内达到maxretry，则进行封锁，封锁时间是bantime。 即十分钟内重试3天都失败的话，客户端所在的IP会被封锁10分钟。 FreeSWITCH配置 使用fail2ban时，需要开启freeswitch的注册错误日志，以便进行跟踪： 文件：/usr/local/uswitch/conf/sip_profiles/internal.xml 将下面的属性设置为true，如下所示： 防火墙iptables配置 开启防火墙 使用以下命令开启防火墙： # chkconfig iptables on 注：如果需要关闭防火墙的话，使用命令chkconfig iptables off即可。 开放SIP相关端口 修改防火墙配置 文件： /etc/sysconfig/iptables-config 将下面两个圈出来的属性修改为yes，如下所示： 重启防火墙 #service iptables restart 增加开放的SIP端口 文件：/etc/sysconfig/iptables 在iptables中添加如下的语句： #FreeSwith -A RH-Firewall-1-INPUT -m udp -p udp --dport 1719 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1720 -j ACCEPT -A RH-Firewall-1-INPUT -m udp -p udp --dport 3478 -j ACCEPT -A RH-Firewall-1-INPUT -m udp -p udp --dport 3479 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5002 -j ACCEPT -A RH-Firewall-1-INPUT -m udp -p udp --dport 5003 -j ACCEPT -A RH-Firewall-1-INPUT -m udp -p udp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5060 -j ACCEPT -A RH-Firewall-1-INPUT -m udp -p udp --dport 5070 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5070 -j ACCEPT -A RH-Firewall-1-INPUT -m udp -p udp --dport 5080 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50