SIP攻擊很常見(jiàn)，特別是各大云服務(wù)器，基本上開了個(gè)公網(wǎng)IP綁定到實(shí)例機(jī)器就會(huì)被外國(guó)IP一遍懟。

防范也容易，就是把外國(guó)IP禁掉。

實(shí)現(xiàn)：iptables+ipset，只允許中國(guó)IP訪問(wèn)本機(jī)，也就實(shí)現(xiàn)了封禁國(guó)外IP的效果。

優(yōu)點(diǎn)：匹配迅速，免去iptables單鏈匹配。

具體操作如下：

?

#安裝ipset：
RedHat：yum install ipset
Debian：apt-get install ipset
#建表
ipset create china hash:net hashsize 10000 maxelem 1000000
#批量增加中國(guó)IP到ipset的china表
#以下內(nèi)容保存成腳本執(zhí)行即可
》》》》》》》》
#!/bin/bash
rm -f cn.zone
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
for i in `cat cn.zone`
do
? ? ipset add china $i?
done
《《《《《《《《
?
ipset list china #查看一下
#iptables的filter表INPUT鏈根據(jù)需求加入相應(yīng)的規(guī)則，以下是實(shí)例
#全部接受中國(guó)IP
-A INPUT -m set --match-set china src -j ACCEPT
#接受中國(guó)IP訪問(wèn)本機(jī)特定端口特定協(xié)議（例如5060UDP協(xié)議），freeswitch一般要用這條，直接具體到端口協(xié)議
-A INPUT -m set --match-set china src -p udp -m udp --dport 5060 -j ACCEPT
#接受中國(guó)IP的ping響應(yīng)
-A INPUT -m set --match-set china src -p icmp -j ACCEPT
針對(duì)小白用戶，不太會(huì)用iptables，貼上簡(jiǎn)易配置用法

把以下內(nèi)容寫到 /etc/sysconfig/iptables 文件里

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m set --match-set china src -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 16384:32768 -j ACCEPT
-A INPUT -s 172.16.0.0/24 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
里面的172.16.0.0/24是內(nèi)網(wǎng)網(wǎng)段，根據(jù)實(shí)際填寫，切記要加上這句，不加就把自己都擋住了。

執(zhí)行 service iptables restart?????即可開起來(lái)iptables

?service iptables status?????檢查下?tīng)顟B(tài)?

PS：最好定期更新一下中國(guó)IP段，再加到ipset的china表就行，或者執(zhí)行一下上面提到的那個(gè)腳本也行。

有疑問(wèn)請(qǐng)留言。
————————————————
版權(quán)聲明：本文為CSDN博主「hanjiezz」的原創(chuàng)文章，遵循 CC 4.0 BY-SA 版權(quán)協(xié)議，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/HanJiezZ/article/details/88570425

總結(jié)

以上是生活随笔為你收集整理的freeswitch被外国IP攻击盗打的防护措施的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。