Bonjour,

Après avoir subit une attaque sur mon serveur j'ai mis en place des règles stricts sur mon serveur Asterisk. Seulement depuis j'ai des déconnexions au bout de 5/10mins, que je n'avais bien sur pas avant.

Version Asterisk 1.6.0.26-FONCORE-r78 / Linux 2.6.18-164.11.1.el5
Asterisk est configuré avec 3 trunks SIP, et 10 téléphones SIP.

Probleme de déconnexion dans /var/log/asterisk/full

[Dec 10 10:51:11] NOTICE[4028] chan_sip.c: Peer 'xxx' is now UNREACHABLE! Last qualify: 58
[Dec 10 10:51:19] NOTICE[4028] chan_sip.c: -- Registration for 'xxx@sip.xxx.net' timed out, trying again (Attempt #2)
[Dec 10 10:51:50] NOTICE[4028] chan_sip.c: Peer 'xxx' is now Reachable. (1752ms / 2000ms)
Voici la configuration de mon iptables:

# iptables -L -v -n
Chain INPUT (policy DROP 111 packets, 7006 bytes)
pkts bytes target prot opt in out source destination
269K 156M ACCEPT udp -- * * xxx/23 0.0.0.0/0 udp dpt:5060
5865K 1171M ACCEPT udp -- * * xxx/23 0.0.0.0/0 udp dpts:10000:20000
8060K 1715M ACCEPT all -- eth0 * 192.168.10.0/24 0.0.0.0/0
771K 179M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
231K 14M LOGGING all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 13M packets, 2946M bytes)
pkts bytes target prot opt in out source destination
175K 12M ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
226K 14M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
1108K 382M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOGGING (1 references)
pkts bytes target prot opt in out source destination
18904 1143K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 LOG flags 0 level 4 prefix `IPTables-Dropped: '
231K 14M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Donc normalement je log tous les drops dans un fichier, pourtant dans celui-ci il n'y a rien correspondant à cette déconnexion.

Merci d'avance pour toutes infos, qui pourrai éclaircir mon probleme.

question con... bien que tu jettes les paquest via iptables, l'attaque peut continuer et saturer ton lien IP, et donc créer cela...

si tu réouvre iptables, les attaques reprennent elles - si oui, c''est surement ca... et ca peut mettre du temps à ce que le gars lache l'affaire

pour le futur:
http://www.asterisk-france.org/showthread.php/1407-Script-php-pour-les-sipvicious?highlight=fail2ban
http://www.asterisk-france.org/showthread.php/814-securisation-d-une-installation-asterisk?highlight=fail2ban

Regarde la bande passante avec "iftop" et mesure le debit.

question con... bien que tu jettes les paquest via iptables, l'attaque peut continuer et saturer ton lien IP, et donc créer cela...

si tu réouvre iptables, les attaques reprennent elles - si oui, c''est surement ca... et ca peut mettre du temps à ce que le gars lache l'affaire

pour le futur:
http://www.asterisk-france.org/showthread.php/1407-Script-php-pour-les-sipvicious?highlight=fail2ban
http://www.asterisk-france.org/showthread.php/814-securisation-d-une-installation-asterisk?highlight=fail2ban

Les logs du firewall n'affiche aucune attaque pour le moment.

Regarde la bande passante avec "iftop" et mesure le debit.

Je regarde de ce coté mais mon install Trixbox Centos 5.8 ne connect pas le packet iftop...
Bien que tout fonctionne sans le firewall, je ne pense pas que le débit soit modifier par le firewall.

les paquets loggés & droppés apparaissent normalement dans le fichier /var/log/messages


Dec 11 08:53:38 <<host>> kernel: IN=eth0 OUT= MAC=00:22:19:61:3f:ca:00:12:ef:21:7a:3f:08:00 SRC=69.162.68.3 DST=192.168.1.1 LEN=438 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=5114 DPT=5060 LEN=418


sinon, qu'entends tu par déconnexion ? quel message ? perte enregistrement ? qui perd qui ?

J