Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet filter passing undesired packets?

brk
Hello,

I was reviewing my asterisk log and found a connection attempt from an unexpected peer.

I found the attempt in the astaro log as follows -

2010:05:24-05:24:24 brk ulogd[3437]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" seq="0" initf="ppp0" outitf="eth0" srcip="188.138.56
.109" dstip="192.168.1.60" proto="17" length="442" tos="0x00" prec="0x00" ttl="52" srcport="5076" dstport="5060"

2010:05:24-05:24:26 brk ulogd[3437]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" seq="0" initf="ppp0" outitf="eth0" srcip="188.138.56
.109" dstip="192.168.1.60" proto="17" length="459" tos="0x00" prec="0x00" ttl="52" srcport="5065" dstport="5060"


What I don't understand is why this packet would get through?  I have sip enabled, but have a specific server list and the above IP address isn't on the allowed list.

How can I debug why this happened?  I don't see any other reference to that srcip address anywhere else in the logs.  Also, is there any logging of the network definitions when they are resolved?


This thread was automatically locked due to age.
  • 0
    Hi,
    what you are seeing there is the SIP helper doing its job.
    I didn't realise that the widening of the SIP helper had been put into production in V7.5xx.

    In the final v8 release there will be a box that you tick to limit the VOIP function. There is a temporary fix in v8beta where you can set a bit that only allows the VOIP phone to talk to sites on the approved list.

    Ian M

    can you please try (form the console, logged in as  root)

    [FONT=Courier New]cc get sip expect_strict[/FONT]

    to  see the current setting, and 

    [FONT=Courier New]cc set sip expect_strict 0[/FONT]    ( to disable strict mode)
    [FONT=Courier New]cc set sip expect_strict 1[/FONT] ( to  enable it again )

    and see if that helps
  • 0
    brk:/root # cc get sip expect_strict
    sip->expect_strict = 0

    brk:/root # cc set sip expect_strict 1
    [
              'INVALID_NODE',
              {
                'attrs' => [],
                'function' => 'set',
                'name' => 'invalid tree node specified',
                'external' => 'set',
                'nodelist' => 'sip->expect_strict',
                'msgtype' => 'INVALID_NODE',
                'format' => 'invalid tree node specified',
                'fatal' => 1
              }
            ]


    Looks like the set isn't accepted.

    I have no idea who that host was that was contacting me.

    I am still not clear - why would they widen the SIP proxy?  If the user wanted it widened wouldn't one just put "all" in the servers list?

    Also, I noticed on 7.505 one of my SIP devices (on port 5065) stopped working. Was working fine before on 7.504.  I had to put in a DNAT rule to make it work.
  • 0
    I actually am seeing quite a few SIP call requests from various IP addresses that I know nothing about.  Do I have my ASG configured incorrectly or is this by design?  I know at one point I had "any" in the valid sip services list - but have since removed it.

    full:[May 19 02:58:10] NOTICE[3169] chan_sip.c: Registration from '"2108644564"' failed for '123.220.82.87' - No matching peer found
    full:[May 24 05:24:25] NOTICE[3215] chan_sip.c: Registration from '"1138023622"' failed for '188.138.56.109' - No matching peer found
    full.0:[Mar 14 23:38:05] NOTICE[3186] chan_sip.c: Registration from '"3559869484"' failed for '204.236.208.53' - No matching peer found
    full.0:[Mar 14 23:38:05] NOTICE[3186] chan_sip.c: Registration from '"4036460743"' failed for '204.236.208.53' - No matching peer found
    full.0:[Mar 15 00:35:50] NOTICE[3186] chan_sip.c: Registration from '"1641103481"' failed for '79.125.74.99' - No matching peer found
    full.0:[Mar 15 00:35:50] NOTICE[3186] chan_sip.c: Registration from '"2701718173"' failed for '79.125.74.99' - No matching peer found
    full.0:[Mar 22 11:09:17] NOTICE[3189] chan_sip.c: Registration from '"1964155181"' failed for '184.73.39.77' - No matching peer found
    full.0:[Mar 22 11:09:17] NOTICE[3189] chan_sip.c: Registration from '"3819100423"' failed for '184.73.39.77' - No matching peer found
    full.4:[Mar 29 14:27:25] NOTICE[3252] chan_sip.c: Registration from '"2319608633"' failed for '173.236.13.58' - No matching peer found
    full.4:[Mar 29 14:27:25] NOTICE[3252] chan_sip.c: Registration from '"3430260034"' failed for '173.236.13.58' - No matching peer found
    full.7:[Apr 29 23:57:17] NOTICE[3164] chan_sip.c: Registration from '"1321779073"' failed for '109.170.0.33' - No matching peer found
    full.7:[Apr 29 23:57:17] NOTICE[3164] chan_sip.c: Registration from '"1277051305"' failed for '109.170.0.33' - No matching peer found
    full.7:[May  8 19:51:05] NOTICE[3167] chan_sip.c: Registration from '"1508932559"' failed for '76.76.96.74' - No matching peer found
    full.7:[May  8 19:51:06] NOTICE[3167] chan_sip.c: Registration from '"1675308099"' failed for '76.76.96.74' - No matching peer found
    full.7:[May  9 21:03:59] NOTICE[3167] chan_sip.c: Registration from '"3918458020"' failed for '91.194.85.241' - No matching peer found
    full.7:[May  9 21:03:59] NOTICE[3167] chan_sip.c: Registration from '"2931689350"' failed for '91.194.85.241' - No matching peer found
    full.7:[May 11 04:48:48] NOTICE[3167] chan_sip.c: Registration from '"2335934837"' failed for '210.212.19.216' - No matching peer found
    full.7:[May 11 04:48:48] NOTICE[3167] chan_sip.c: Registration from '"2670130341"' failed for '210.212.19.216' - No matching peer found
    full.8:[May 14 10:07:35] NOTICE[3169] chan_sip.c: Registration from '"3690654403"' failed for '204.93.167.21' - No matching peer found
  • 0
    Please help - it is still doing it and I haven't seen a good solution.

    I just saw a call attempt in the astaro packet filter log that was forwarded to my asterisk box.

      21:48:51 SIP call UDP 195.251.98.26 : 5060   → 192.168.1.60 : 5060  len=437 ttl=53 tos=0x00 
     


    BUT I have an explicit list of servers (external) and clients (internal).  I have never talked to this node listed above.

    Why is it doing this and how do I stop it?  It appears to have started on 7.505