FreeSWITCH配置文件解析(10) 配置IP封禁(防暴力破解)

以下是針對FreeSWITCH配置IP封禁(防暴力破解)的完整方案,結合Fail2Ban與系統級防護策略:

一、Fail2Ban核心配置(推薦方案)

  1. ??啟用FreeSWITCH鑒權日志??

    • 修改SIP Profile(conf/sip_profiles/internal.xml),添加參數:

      <param name="log-auth-failures" value="true"/>

    • 或在XSwitch網頁端:高級→?SIP→ 添加log-auth-failures=true

    • 重啟服務:fs_cli -x "reloadxml"

? ? ?

  • 安裝Fail2Ban??

    # Ubuntu/Debian sudo apt install fail2ban 
# CentOS sudo yum install epel-release 
# CentOS sudo yum install fail2ban

  • ??配置Jail規則??

    創建?/etc/fail2ban/jail.d/freeswitch.conf

    [freeswitch] 
enabled = true port = 5060,5061,5080 # SIP端口(按需修改) 
filter = freeswitch logpath = /usr/local/freeswitch/log/freeswitch.log # 日志路徑校對 
maxretry = 5 # 5次失敗觸發封禁 
bantime = 1d # 封禁1天 
findtime = 10m # 10分鐘內統計 
action = %(banaction)s[name=%(__name__)s-tcp, protocol="tcp"] %(banaction)s[name=%(__name__)s-udp, protocol="udp"]

    ??關鍵??:端口需對齊FreeSWITCH的internal_sip_port/external_sip_portvars.xml中定義)

  • ??調整日志過濾規則??

    修改?/etc/fail2ban/filter.d/freeswitch.conf,適配FreeSWITCH ≥1.10的日志格式(含CPU占用率字段):

    failregex = ^%(_pref_line)s \d+\.?\d+%% \[WARNING\] sofia_reg\.c:\d+ SIP auth (failure|challenge) .* from ip <HOST>$ ^%(_pref_line)s \d+\.?\d+%% \[WARNING\] sofia_reg\.c:\d+ Can't find user .* from <HOST>$

    ??驗證正則有效性??:

    fail2ban-regex /path/to/freeswitch.log /etc/fail2ban/filter.d/freeswitch.conf --print-all-matched

    需輸出匹配的IP日志行

  • ??重啟Fail2Ban生效??

    sudo systemctl restart fail2ban 
sudo fail2ban-client status freeswitch # 查看封禁狀態

二、網絡層加固(Fail2Ban補充)

  1. 防火墻端口最小化開放??

    # 僅開放必要端口(如SIP/TLS/RTP) 
sudo ufw allow proto tcp from <信任IP> to any port 5060,5061,5080 
sudo ufw allow proto udp from <信任IP> to any port 10000:20000 # RTP端口范圍 sudo ufw enable

  2. ??分離內外網SIP Profile??

    vars.xml中顯式聲明IP,避免auto綁定導致公網暴露:

    <!-- 內網Profile --> 
<X-PRE-PROCESS cmd="set" data="internal_sip_ip=192.168.1.100"/><!-- 公網Profile --> 
<X-PRE-PROCESS cmd="set" data="external_sip_ip=203.0.113.10"/>

    并在sip_profiles/中分拆配置

三、Fail2Ban高級管理命令

??命令??

??作用??

fail2ban-client unbanip <IP>

手動解封IP

fail2ban-client set freeswitch banip <IP>

手動封禁IP

tail -f /var/log/fail2ban.log

實時監控封禁記錄

🔧 四、常見問題排查

  • ??Fail2Ban未生效?? → 檢查:

    1. FreeSWITCH日志是否輸出SIP auth failure(無記錄則檢查log-auth-failures

    2. Fail2Ban正則是否匹配日志格式(用fail2ban-regex調試)

    3. 防火墻是否被Fail2Ban調用(如UFW/iptables需允許Fail2Ban操作)

  • ??內網設備誤封?? → 在jail.d/freeswitch.conf添加:

    ignoreip = 192.168.0.0/16 10.0.0.0/8

?

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/916418.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/916418.shtml
英文地址,請注明出處:http://en.pswp.cn/news/916418.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

【React 入門系列】React 組件通訊與生命周期詳解

【React 入門系列】React 組件通訊與生命周期詳解

&#x1f9e9; 第一章&#xff1a;組件通訊概述在 React 開發中&#xff0c;組件是封裝的、獨立的功能單元。為了實現組件間的數據共享與協作&#xff0c;需要通過組件通訊機制。組件通訊的意義&#xff1a; 讓多個封閉的組件能夠共享數據&#xff0c;實現協作功能。&#x1f4…
閱讀更多...
前端開發 Vue 狀態優化

前端開發 Vue 狀態優化

Vue 項目中的狀態優化一般都會用Pinia替代Vuex&#xff0c;Pinia 是 Vue 生態系統中的一個輕量級狀態管理庫&#xff0c;作為 Vuex 的替代品&#xff0c;它提供了更簡潔的 API 和更好的性能。模塊化管理&#xff1a;使用 Pinia 時&#xff0c;建議將狀態拆分為多個 store 模塊&…
閱讀更多...
虛幻基礎:創建角色——FPS

虛幻基礎:創建角色——FPS

能幫到你的話&#xff0c;就給個贊吧 &#x1f618; 文章目錄創建角色設置模型添加攝像機添加位置&#xff1a;插槽彈簧臂&#xff1a;伸縮防止由碰撞導致攝像機穿模攝像機添加武器添加位置&#xff1a;插槽創建動畫藍圖&#xff1a;主動獲取角色數據并播放相應動畫設置角色控制…
閱讀更多...
2025年入局蘋果Vision Pro開發:從零到發布的完整路線圖

2025年入局蘋果Vision Pro開發:從零到發布的完整路線圖

蘋果Vision Pro的發布標志著空間計算(Spatial Computing)進入主流市場。作為開發者,如何快速掌握visionOS開發?本文將為你提供詳細的路線圖、實踐建議與資源指南,涵蓋從窗口式應用到沉浸式3D應用的完整開發路徑。 一、visionOS開發的核心目標與階段劃分 visionOS的開發可…
閱讀更多...
百度文心大模型ERNIE全面解析

百度文心大模型ERNIE全面解析

百度文心大模型ERNIE概述 百度推出的文心大模型(ERNIE,Enhanced Representation through kNowledge IntEgration)系列是結合知識增強技術的預訓練大模型,涵蓋自然語言處理(NLP)、跨模態、行業應用等多個方向。其開源版本為開發者提供了可商用的大模型能力支持。 ERNIE的…
閱讀更多...
【SpringAI實戰】提示詞工程實現哄哄模擬器

【SpringAI實戰】提示詞工程實現哄哄模擬器

一、前言 二、實現效果 三、代碼實現 3.1 后端實現 3.2 前端實現 一、前言 Spring AI詳解&#xff1a;【Spring AI詳解】開啟Java生態的智能應用開發新時代(附不同功能的Spring AI實戰項目)-CSDN博客 二、實現效果 游戲規則很簡單&#xff0c;就是說你的女友生氣了&#x…
閱讀更多...
速通python加密之AES加密

速通python加密之AES加密

AES加密 AES加密&#xff08;Advanced Encryption Standard&#xff0c;高級加密標準&#xff09;是目前全球公認的最安全、應用最廣泛的對稱加密算法之一&#xff0c;于2001年被美國國家標準與技術研究院&#xff08;NIST&#xff09;確定為替代DES的標準加密算法&#xff0c;…
閱讀更多...
Java 對象秒變 Map:字段自由伸縮的優雅實現

Java 對象秒變 Map:字段自由伸縮的優雅實現

前言 在開發中,我們常常需要把對象轉成 Map 格式,用于序列化、傳輸、展示,甚至硬塞給某些第三方框架吃進去再吐出來。乍一看很簡單,字段多起來后就像打翻調色盤,維護起來一不小心就翻車。想優雅地搞定這事,必須有一套穩妥、可擴展的方案,才能寫出讓同事膜拜、領導點贊、…
閱讀更多...
激光雷達-相機標定工具:支持普通相機和魚眼相機的交互式標定

激光雷達-相機標定工具:支持普通相機和魚眼相機的交互式標定

激光雷達-相機標定工具&#xff1a;支持普通相機和魚眼相機的交互式標定 前言 在自動駕駛、機器人導航等領域&#xff0c;激光雷達和相機的標定是一個基礎而重要的問題。準確的標定結果直接影響后續的感知算法性能。本文將介紹一個開源的激光雷達-相機標定工具&#xff0c;支持…
閱讀更多...
linux shell從入門到精通(二)——變量操作

linux shell從入門到精通(二)——變量操作

1.什么是變量變量在許多程序設計語言中都有定義&#xff0c;與變量相伴地有使用范圍地定義。Linux Shell也不例外。變量&#xff0c;本質上就是一個鍵值對。例如&#xff1a;str“hello”就是將字符串值“hello”賦予鍵str。在str地使用范圍內&#xff0c;我們都可以用str來引用…
閱讀更多...
[Linux入門] 初學者入門:Linux DNS 域名解析服務詳解

[Linux入門] 初學者入門:Linux DNS 域名解析服務詳解

目錄 一、域名服務基礎&#xff1a;從 “名字” 到 “地址” 的轉換 1??什么是域名&#xff1f; 2??什么是 DNS&#xff1f; 3??DNS 用 TCP 還是 UDP&#xff1f; 二、DNS 服務器&#xff1a;各司其職的 “導航站” 1??根域名服務器 2??頂級域名服務器 3??權…
閱讀更多...
iview表單驗證一直提示為空的幾個原因?

iview表單驗證一直提示為空的幾個原因?

1.Form上的rules是否配置正確&#xff1b; 2.Form-item的prop是否配置正確&#xff1b; 3.規則的名稱和input的v-model是否對應&#xff1b; 4.驗證的字段是否響應&#xff0c;新增字段使用this. $set. © 著作權歸作者所有,轉載或內容合作請聯系作者 平臺聲明&#xff1…
閱讀更多...
SpringBoot3(若依框架)集成Mybatis-Plus和單元測試功能,以及問題解決

SpringBoot3(若依框架)集成Mybatis-Plus和單元測試功能,以及問題解決

一、Mybatis-Plus集成 新增依賴到父級pom.xml&#xff0c;原先的mybatis依賴可以不動需要注意 mybatis-plus與mybatis版本之間的沖突&#xff0c;不要輕易改動依賴&#xff0c;不然分頁也容易出現問題分類頂級pom.xml下面&#xff0c;如果沒有引入還是出現報錯&#xff0c;在co…
閱讀更多...
刪除遠程分支上非本分支的提交記錄

刪除遠程分支上非本分支的提交記錄

要刪除遠程分支上非本分支的提交記錄&#xff08;即主分支的提交歷史&#xff09;&#xff0c;需要使用 Git 的重寫歷史功能。以下是完整解決方案&#xff1a; 解決方案步驟&#xff1a; 創建干凈的新分支&#xff08;基于主分支最新提交&#xff09; # 切換到主分支并更新 git…
閱讀更多...
Flask input 和datalist結合

Flask input 和datalist結合

<input list"categories" name"category" id"category" class"form-control" placeholder"任務分類" required> 這段代碼是一個 HTML 輸入控件&#xff0c;結合了 <input> 和 <datalist>&#xff0c;用來…
閱讀更多...
嵌入式分享#27:原來GT911有兩個I2C地址(全志T527)

嵌入式分享#27:原來GT911有兩個I2C地址(全志T527)

最近在調試全志T527的觸摸功能時&#xff0c;發現GT911觸摸芯片的I2C地址有時是0x5d&#xff0c;有時又識別成0x14&#xff0c;不知道大家有沒有遇到過類似這個情況。雖然最后使用0x5d地址調通了觸摸功能&#xff0c;但是一直還是很困惑&#xff0c;為什么會出現0x14和0x5d兩個…
閱讀更多...
Linux運維新人自用筆記(Rsync遠程傳輸備份,服務端、郵箱和客戶端配置、腳本)

Linux運維新人自用筆記(Rsync遠程傳輸備份,服務端、郵箱和客戶端配置、腳本)

內容全為個人理解和自查資料梳理&#xff0c;歡迎各位大神指點&#xff01;每天學習較為零散。day24一、Rsync傳輸文件#安裝rsync#-a遞歸同步&#xff08;包含子目錄&#xff09;保留文件權限、所有者、組、時間戳等元數據 #??-z傳輸時壓縮數據 #??-v顯示詳細同步過程 #??…
閱讀更多...
以 “有機” 重構增長:云集從電商平臺到健康生活社區的躍遷

以 “有機” 重構增長:云集從電商平臺到健康生活社區的躍遷

當電商行業陷入流量爭奪的紅海&#xff0c;同質化運營模式難以突破增長瓶頸時&#xff0c;云集以從精選電商到有機生活平臺的戰略轉型&#xff0c;開辟出差異化發展路徑。其轉型并非憑經驗決斷的孤例&#xff0c;而是建立在對市場趨勢的精準研判、用戶需求的深度解碼&#xff0…
閱讀更多...
【2025最新版】midjourney小白零基礎入門到精通教程!人工智能繪圖+AI繪圖+AI畫圖,一鍵出圖教程 (持續更新)

【2025最新版】midjourney小白零基礎入門到精通教程!人工智能繪圖+AI繪圖+AI畫圖,一鍵出圖教程 (持續更新)

前言 現在市面上相關的AI繪畫工具非常多&#xff0c;有6pen.art、Stable Diffusion、DALL.E、Midjourney等。 而MJ就目前而言&#xff0c;它是一款強大的人工智能工具&#xff0c;旨在幫助設計師和創意人員完成各種設計任務。 非常適合我們圖像工作者&#xff0c;從 UI 設計到…
閱讀更多...
2025年滲透測試面試題總結-2025年HW(護網面試) 70(題目+回答)

2025年滲透測試面試題總結-2025年HW(護網面試) 70(題目+回答)

安全領域各種資源&#xff0c;學習文檔&#xff0c;以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各種好玩的項目及好用的工具&#xff0c;歡迎關注。 目錄 2025年HW(護網面試) 70 一、自我介紹 二、同源策略 & 三大漏洞對比解析 1. 同源策略&#xff08;SOP&…
閱讀更多...
最新文章

Copyright @ 2022~2023