- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《使用fail2ban+iptables防范VOIP攻击》.doc
FreeSWITCH VOIP攻击防范说明
总体说明
使用fail2ban+iptables相结合,防范VOIP攻击。
Fail2ban安装与配置
安装Fail2ban
安装yum。(略)
安装EPEL源
#rpm -ivh /pub/epel/5/i386/epel-release-5-4.noarch.rpm
C、安装fail2ban
#yum install fail2ban
配置Fail2ban
配置日志级别及路径
文件:/etc/fail2ban/fail2ban.conf
默认fail2ban.conf里面就三个参数,而且都有注释。
#默认日志的级别
loglevel = 3
#日志的存放路径
logtarget = /var/log/fail2ban.log
#socket的位置
socket = /tmp/fail2ban.sock
我们主要修改日志的存放路径,修改为/var/log/fail2ban.log
Fail2ban全局配置
文件:/etc/fail2ban/jail.conf
# vi /etc/fail2ban/jail.conf
#忽略IP的范围 如果有二组以上用空白做为间隔
ignoreip =
# 设定 IP 被封锁的时间(秒),如果值为 -1,代表永远封锁
bantime = 600
# 设定在多少时间内达到 maxretry 的次数就封锁
findtime = 600
# 设定在多少时间内达到 maxretry 的次数就封锁
maxretry = 3
# 允许尝试的次数
上面设置的意思是如果在findtime内达到maxretry,则进行封锁,封锁时间是bantime。
即十分钟内重试3天都失败的话,客户端所在的IP会被封锁10分钟。
FreeSWITCH配置
使用fail2ban时,需要开启freeswitch的注册错误日志,以便进行跟踪:
文件:/usr/local/uswitch/conf/sip_profiles/internal.xml
将下面的属性设置为true,如下所示:
防火墙iptables配置
开启防火墙
使用以下命令开启防火墙:
# chkconfig iptables on
注:如果需要关闭防火墙的话,使用命令chkconfig iptables off即可。
开放SIP相关端口
修改防火墙配置
文件: /etc/sysconfig/iptables-config
将下面两个圈出来的属性修改为yes,如下所示:
重启防火墙
#service iptables restart
增加开放的SIP端口
文件:/etc/sysconfig/iptables
在iptables中添加如下的语句:
#FreeSwith
-A RH-Firewall-1-INPUT -m udp -p udp --dport 1719 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1720 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 3478 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 3479 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5002 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 5003 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5060 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 5070 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5070 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p udp --dport 5080 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50
您可能关注的文档
最近下载
- 【推荐】部编版五年级语文上册课内阅读.doc VIP
- GB_T 32151.8-2023 碳排放核算与报告要求 第8部分:水泥生产企业.pdf
- 部编版五年级上语文(部编版五年级上册)课内阅读训练.doc VIP
- 部编版五年级语文上册课内阅读及答案.doc VIP
- (部编版五年级上册)课内阅读训练.pdf VIP
- 2023-2024学年北京海淀区交大附中高一(上)期中物理试题及答案.docx VIP
- 2023-2024学年北京海淀区交大附中高一(上)期中生物试题及答案.docx VIP
- 2023-2024学年北京海淀区交大附中高一(上)期中数学试题及答案.pdf VIP
- 建构筑物四级消防员证中级题库.pdf
- 高铁施工组织设计(投标文件技术部分)范本.doc
文档评论(0)