运行在公网的FreeSWITCH服务器,每天都会接收到很多恶意的呼叫请求和注册请求,尝试盗打电话。合理的配置可以防止电话给倒打,但是每天大量的攻击,会让FS产生很多日志,降低FreeSWITCH的处理能力,cti模块结合fail2ban可以把恶意IP,使用防火墙封堵掉。
防盗打配置
非常重要的,不要开通国际长途。其次对于呼出拨号方案和呼入路由要小心配置。
- sip配置里面的external默认是可以任意呼入,默认的呼叫路由是public,public这个路由绝对不要启用呼叫外线功能。
- sip配置里面如果新加了sip项目也同第一点。
- internal这个是用来分机注册的,auth-calls 必须是勾选,千万不能吧这个勾选去除。
- 分机配置里分机密码设置复杂些。不要勾选allow-empty-apssword。
- 对于提供给网关注册的分机呼叫路由改成pulibc,默认是使用default这个呼叫路由。
限制呼入
建议external可以设置成只有指定的IP才可以呼入,设置方法如下
- sip设置external的apply-inbound-acl设置为inbound,auth-calls 不要勾选,注意internal的auth-calls 必须勾选。
- /fs/etc/freeswitch/autoload_configs/acl.conf.xml ,如果ccadmin的配置文件有acl.conf,就应该ccadmin->配置文件->acl.conf加入
<list name="inbound" default="deny"> <node type="allow" cidr="允许呼入的IP1/32"/> <node type="allow" cidr="允许呼入的IP2/32"/> </list> 复制代码
封堵原理
cti 模块发现注册失败或者 不规范的SIP报文,或者被叫号码不符合cti.json配置的规范,就写入日志到cti_fail2ban.log,fail2ban通过监视日志把恶意IP加入防火墙,封堵恶意IP。
CTI配置
cti.json 配置被叫号码规范
| ``` "fail2ban": { "filename": "cti_fail2ban.log", "destination_number_max_len": 12, "deny_prefix": ["00", "+"], "allow_prefix": [] }
| --------------------------------------------------------------------------------------------------------------------------------------------- | - filename 恶意访问记录文件名,如果不用绝对路径,默认路径是fs的日志目录。 - stination_number_max_len 被叫号码的最大长度 - denny_prefix 拒绝的被叫号码前缀 - allow_prefix 允许的被叫号码前缀,如果一个前缀都不配置,就是允许任意号码。如果配置了,只允许配置的前缀,非允许的号码就会自动拒绝。 ## [](http://www.ddrj.com/callcenter/fail2ban.html#fail2ban%E9%85%8D%E7%BD%AE "fail2ban配置")fail2ban配置 以下是安装和配置fail2ban的过程。如果不安装fail2ban,只配置cti.json的规则,只能挂断不符合规范的呼叫,不能杜绝攻击,需要安装配置好fail2ban,把非法Ip加入防火墙黑名单。\ 为了防止开发测试过程误触发屏蔽规则,导致开发机器连接不上服务器,建议把开发电脑的外网IP加入白名单。 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E5%AE%89%E8%A3%85fail2ban "安装fail2ban")安装fail2ban yum install fail2ban -y ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E7%BC%96%E8%BE%91jail-conf "编辑jail.conf")编辑jail.conf cd /etc/fail2ban\ mv jail.conf jail.conf.local\ vi jail.conf\ 把以下内容写如 jail.conf | ``` [cti] enabled = true filter = cti action = iptables-allports[name=cti, protocol=all] logpath = /fs/var/log/freeswitch/cti_fail2ban.log bantime = 86400 maxretry = 5 findtime = 180 ignoreip = 127.0.0.1/8 192.168.0.0/16 10.0.0.0/8 172.16.0.0/16 backend = auto ``` | | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | 配置说明: - logpath 监视cti记录的异常IP日志。 - bantime 封堵时间,单位秒,86400秒就是24小时。 - maxretry findtime(180秒)时间内日志文件出现的IP超过maxretry(5)次就封堵。 - ignoreip ip白名单 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E8%AE%BE%E7%BD%AE%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6%E6%9D%83%E9%99%90 "设置日志文件权限")设置日志文件权限 给/fs/var/log/freeswitch/目录修改安全上下文\ chcon -R -t var_log_t /fs/var/log/freeswitch\ 也可以直接关闭sulinux,如果不修改安全上下文,会导致fail2ban启动失败 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E8%AE%BE%E7%BD%AEfilter "设置filter")设置filter vi /etc/fail2ban/filter.d/cti.conf\ 把以下内容写入 /etc/fail2ban/filter.d/cti.conf | ``` [Definition] failregex = ^ip[<HOST>].* ignoreregex = ``` | | --------------------------------------------------------------- | ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E8%AE%BE%E7%BD%AE%E5%BC%80%E6%9C%BA%E5%90%AF%E5%8A%A8fail2ban "设置开机启动fail2ban")设置开机启动fail2ban systemctl enable fail2ban ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E5%90%AF%E5%8A%A8fail2ban "启动fail2ban")启动fail2ban systemctl start fail2ban ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E6%9F%A5%E7%9C%8Bfail2ban%E5%90%AF%E5%8A%A8%E7%8A%B6%E6%80%81 "查看fail2ban启动状态")查看fail2ban启动状态 systemctl status fail2ban ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E6%9F%A5%E7%9C%8B%E8%A2%ABban-IP%EF%BC%8C%E5%85%B6%E4%B8%ADcti%E4%B8%BA%E5%90%8D%E7%A7%B0 "查看被ban IP,其中cti为名称")查看被ban IP,其中cti为名称 fail2ban-client status cti 如果 File list 看不到文件名,说明fs还没启动,需要先启动fs,然后“systemctl restart fail2ban”重启fail2ban,必须File list 看到了日志文件名才可以。 Status for the jail: cti\ |- Filter\ | |- Currently failed: 0\ | |- Total failed: 0\ | `- File list: /fs/var/log/freeswitch/cti_fail2ban.log`- Actions\ |- Currently banned: 0\ |- Total banned: 0\ `- Banned IP list: 0 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E6%89%8B%E5%8A%A8%E5%B0%81%E5%A0%B5%E4%B8%80%E4%B8%AAIP "手动封堵一个IP")手动封堵一个IP fail2ban-client set cti banip IP地址 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E6%89%8B%E5%8A%A8%E8%A7%A3%E5%B0%81%E4%B8%80%E4%B8%AAIP "手动解封一个IP")手动解封一个IP fail2ban-client set cti unbanip IP地址 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E6%B7%BB%E5%8A%A0%E7%99%BD%E5%90%8D%E5%8D%95 "添加白名单")添加白名单 fail2ban-client set cti addignoreip IP地址 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E5%88%A0%E9%99%A4%E7%99%BD%E5%90%8D%E5%8D%95 "删除白名单")删除白名单 fail2ban-client set cti delignoreip IP地址 ### [](http://www.ddrj.com/callcenter/fail2ban.html#%E6%9F%A5%E7%9C%8B%E8%A2%AB%E7%A6%81%E6%AD%A2%E7%9A%84IP%E5%9C%B0%E5%9D%80 "查看被禁止的IP地址")查看被禁止的IP地址 iptables -L -n
