Bem, no meu caso funciona bem, seguem minhas confs abaixo, tente comparar para ver se há algo de diferente:<div><br></div><div>- Arquivo de filtro para SIP: /etc/fail2ban/filter.d/asterisk.conf</div><div><br></div><div><br>
</div><div><div>[INCLUDES]</div><div><br></div><div>[Definition]</div><div>failregex = NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Wrong password</div><div> NOTICE.* .*: Registration from ..*. failed for .<HOST>. . No matching peer found</div>
<div> NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Username/auth name mismatch</div><div> NOTICE.* .*: Registration from ..*. failed for .<HOST>. . Device does not match ACL</div>
<div> NOTICE.* <HOST> failed to authenticate as ..*.$</div><div> NOTICE.* .*: No registration for peer ..*. \(from <HOST>\)</div><div> NOTICE.* .*: Host <HOST> failed MD5 authentication for ..*. (.*)</div>
<div> NOTICE.* .*: Failed to authenticate user .*@<HOST>.*</div><div>ignoreregex =</div></div><div><br><br></div><div>- No "jail.conf":</div><div><br></div><div><div>[asterisk-iptables]</div><div>
<br></div><div>enabled = true</div><div>filter = asterisk</div><div>action = iptables-allports[name=ASTERISK, protocol=all]</div><div># sendmail-whois[name=ASTERISK, dest=<a href="mailto:planetfone-fail2ban@planetarium.com.br">planetfone-fail2ban@planetarium.com.br</a>, sender=<a href="mailto:fail2ban@pfdesenv3.planetarium.com.br">fail2ban@pfdesenv3.planetarium.com.br</a>]</div>
<div> sendmail-whois[name=ASTERISK]</div><div>logpath = /var/log/asterisk/full</div><div>maxretry = 3</div><div>bantime = 259200</div></div><div><br></div><div>**** Lembrando que em "logpath", deverá conter exatamente o caminho de onde é gerado o log do asterisk, devidamente configurado no arquivo logger.conf</div>
<div><br></div><div><br></div><div>Att.,</div><div><br><div class="gmail_quote">Em 5 de janeiro de 2011 00:25, Oseias Ferreira <span dir="ltr"><<a href="mailto:ferreira.oseias@gmail.com">ferreira.oseias@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><br>
Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu:<br>
<div class="im"><br>
> Pois olhe,<br>
><br>
> Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%,<br>
> uma vez que vc identificou a rede origem do ataque e conhece a dos<br>
> clientes :<br>
><br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://188.0.0.0/8" target="_blank">188.0.0.0/8</a> --dport 5060:5061 -j<br>
> ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://188.0.0.0/8" target="_blank">188.0.0.0/8</a> --dport 10000:30000 -<br>
> j ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://189.0.0.0/8" target="_blank">189.0.0.0/8</a> --dport 5060:5061 -j<br>
> ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://189.0.0.0/8" target="_blank">189.0.0.0/8</a> --dport 10000:30000 -<br>
> j ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://200.0.0.0/8" target="_blank">200.0.0.0/8</a> --dport 5060:5061 -j<br>
> ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://200.0.0.0/8" target="_blank">200.0.0.0/8</a> --dport 10000:30000 -<br>
> j ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://201.0.0.0/8" target="_blank">201.0.0.0/8</a> --dport 5060:5061 -j<br>
> ACCEPT<br>
> iptables -A INPUT -i eth0-p UDP -s <a href="http://201.0.0.0/8" target="_blank">201.0.0.0/8</a> --dport 10000:30000 -<br>
> j ACCEPT<br>
> iptables -A INPUT -i eth0 -j DROP<br>
<br>
</div>Se nenhum usuário for registrar fora do Brasil, realmente pode usar.<br>
Como a maioria dos ataques têm origem de IPs de fora, (provavelmente<br>
os bots usam a rede tor), vai bloquear boa parte.<br>
Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados<br>
de IPs brasileiros.<br>
<br>
<a href="http://en.wikipedia.org/wiki/Intrusion_Detection_System" target="_blank">http://en.wikipedia.org/wiki/Intrusion_Detection_System</a><br>
<div><div></div><div class="h5"><br>
--<br>
Oséias Ferreira.<br>
<br>
<br>
<br>
_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Leandro,<br>
</div>