src IP bei authenticate device und Timeout on non-critical invite transaction

gigauser

Neuer User
Mitglied seit
19 Aug 2021
Beiträge
61
Punkte für Reaktionen
6
Punkte
8
Hallo,
ich habe im log file solche Meldungen:

[Feb 18 20:56:46] WARNING[26083]: chan_sip.c:4178 retrans_pkt: Timeout on U1ULY7IC0853.2082378.XSE0F5Z0JOJM on non-critical invite transaction

[Feb 18 17:53:39] NOTICE[770][C-00000469] chan_sip.c: Failed to authenticate device <sip:5002@MY_IP>;tag=344946738


Wo bekomme ich die src IP her, ich würde das dann mit iptables DROP maxchen.

Bei Registrierunsversuch sehe ich die im log file und kann das großflächig dropen
chan_sip.c:28938 handle_request_register: Registration from '50000003 <sip:50000003@MY_IP>' failed for '31.222.238.99:49909' - Wrong password


Gruss
 
Du postest den Output des messages.log. Programme wie Fail2ban können in so einem Fall auf die IP zugreifen. Daher vermute ich, ohne es jetzt überprüft zu haben, dass das im security.log steht. Weil ich mir nicht sicher bin, ob das Deine Frage beantwortet, ginge auch die andere Richtung: Über die logger.conf kannst Du Dir den Level „security“ zusätzlich auch auf der Konsole bzw. messages.log ausgeben lassen. Also meine Rückfragen wären:
  1. Warum nimmst Du nicht direkt Tools wie Fail2ban?
  2. Falls das einen Grund hat, warum nicht direkt security.log?
  3. Falls wir hier angelangt sind, dürfte ich Deine Frage nicht verstanden haben (oder die IP erscheint auch nicht im Level security).
 
Hallo,
Fail2ban müsste ich erst einarbeiten und nur für diese Anwendung sehe ich das als zu aufwendig an.
Lieber großflächig dropen wenn was im log steht. Aber dazu brauche ich erst die IP und die habe ich eben nicht.


So sieht logger.conf jetzt aus
console = verbose,notice,warning,error

;messages = notice,warning,error
full = verbose,notice,warning,error,debug
security = verbose,notice,warning,error
messages = verbose,notice,warning,error


Aber die IP habe ich da nicht drin gefunden


Hier steht keine IP drin, darum geht es mir.
[Feb 18 20:56:46] WARNING[26083]: chan_sip.c:4178 retrans_pkt: Timeout on U1ULY7IC0853.2082378.XSE0F5Z0JOJM on non-critical invite transaction
[Feb 18 17:53:39] NOTICE[770][C-00000469] chan_sip.c: Failed to authenticate device <sip:5002@MY_IP>;tag=344946738


Bei
chan_sip.c:28938 handle_request_register: Registration from '50000003 <sip:50000003@MY_IP>' failed for '31.222.238.99:49909' - Wrong password
steht die IP drin, da ist drop kein Problem.



Mit logger.conf un debug = 3 kann ich alles sehen und DROP auf den IP Bereich machen
[options]
verbose = 20
; vorher 10
debug = 3
 
Zuletzt bearbeitet:
Soweit ich Deinen Nachtrag verstehe, ist das Problem über Debug-Level 3 gelöst worden. Richtig?
Fail2ban müsste ich erst einarbeiten
Auf welcher Linux-Distribution bist Du?
Unter Ubuntu 18.04 LTS musste ich lediglich am Ende der Datei /etc/fail2ban/jail.local Folgendes anfügen:
Code:
[asterisk]
enabled = true
und Fail2ban neu starten.
logger.conf [sieht] jetzt aus
Nur damit kein Missverständnis entstand: Ich meinte
a) den Log-Level ‘security’ auch zur Log-Ausgabe ‘console’ hinzufügen. Oder​
b) sich nur auf die Log-Ausgabe ‘security.log’ verlassen.​
 
Hallo,
fail2ban ist mir zu viel. Ich schaue einfach in die console und in messages ob da böse Buben sich versuchen zu registrieren oder anderen Schrott machen und DROPe die mit iptables großflächig.


Es ging mir aktuell konkret um die IP von solchen Meldungen:

Die bekomme ich mit:
messages = verbose,notice,warning,error

[Feb 18 20:56:46] WARNING[26083]: chan_sip.c:4178 retrans_pkt: Timeout on U1ULY7IC0853.2082378.XSE0F5Z0JOJM on non-critical invite transaction
[Feb 18 17:53:39] NOTICE[770][C-00000469] chan_sip.c: Failed to authenticate device <sip:5002@MY_IP>;tag=344946738

Die IPs von solchen Meldungen bekomme ich nur mit der Option debug!
full = verbose,notice,warning,error,debug

Mit security komme ich da nicht weiter.

PS: 5060 ist schon ewig verlegt, die Typen scheinen Geduld zu haben.

Gruss
 
Ich schaue einfach in die console und in messages
… und das ist für solche Dinge die falsche Log-Ausgabe, jedenfalls ab Werk.
Entweder diese Log-Ausgaben durch „security“ ergänzen oder direkt in die Log-Ausgabe „security.log“ schauen.
 
Hallo,
ich habe jetzt noch
security => security
und security bei console ergänzt

Aber ich habe nicht im log security die IP dieses Vorgangs gefunden:
[Feb 18 17:53:39] NOTICE[770][C-00000469] chan_sip.c: Failed to authenticate device <sip:5002@MY_IP>;tag=344946738
Es handelt sich schließlich für einen ganz normalen Versuch einer Registrierung der daran scheitert das es kein peer 5002 gibt.
Die source IP des Registrierungsversuch habe ich bisher nur bei debug gefunden.
Gruss
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.