<html><head><title>Re: [asterisk-users] Am I being hacked?</title>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-15">
</head>
<body>
<span style=" font-family:'courier new'; font-size: 9pt;">Hello Steve,<br>
<br>
Monday, August 19, 2013, 11:55:54 AM, you wrote:<br>
<br>
&gt;&gt; &gt;&gt; [2013-08-18 05:56:29] NOTICE[17089][C-000000a8] chan_sip.c:&nbsp;<br>
&gt;&gt; &gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;Failed to authenticate device 390&lt;sip:390@xx.xx.xxx.xxx&gt;;tag=2762c06e<br>
&gt;&gt;&nbsp;<br>
&gt;&gt; xx.xx.xxx.xxx is my public I.P.<br>
<br>
&gt; What kind of filtering are you doing? Iptables?<br>
<br>
&gt; Rather than playing 'wack-a-mole' with hackers, my first line of defense<br>
&gt; is to 'white-list' just the few legitimate connections between my clients<br>
&gt; and their SIP providers.<br>
<br>
<span style=" font-family:'Arial'; font-size: 10pt;">I have blocked almost all the IPs except the very few I care about. I'm not that good at iptables, but I did block at least&nbsp;<br>
<br>
I guess I need to change it to &nbsp;something like:<br>
<br>
Allow x<br>
alloy y<br>
allow z<br>
allow local<br>
block all<br>
<br>
One of my concerns was what happens if my provider hands off the RTP stream to a blocked address? &nbsp;It's a small Atom box with 6 phones, 6 or 8 numbers and two users. it's behind NAT and the internet is Time Warner Cable.<br>
<br>
Long ago I changed all my extensions to non numeric 40 character or so things with similar passwords. The only weak spot might be the connections to my brother-in-law's TrixBox box across the country and that's because he doesn't believe in secure passwords. I've tried, but it's just not worth the effort.<br>
<br>
<span style=" font-family:'courier new'; font-size: 9pt;">-- Ira</body></html>