<tt><font size=2>> > Make sure you have solved the problem. You
don't want to get hit with a <br>
> > phone bill for calls from your location to Israel. Basically,
they are <br>
> > hoping that you are running the equivalent of a mail server open
relay. <br>
> > They are trying to use you to dial out to another number. You
don't want <br>
> > to pay for these calls.<br>
> <br>
> Of course, but how can I test, if I am an "open relay"?<br>
> <br>
> > The calls are being dumped into your default context. It's not
matching on <br>
> > your gotoif statements, so finally it is trying to execute this:<br>
> > Dial("SIP/192.168.20.120-0000002a", "SIP/pbxluca/000972592603325,,R")
in <br>
> > new stack<br>
> > <br>
> > Not sure what trunk pbxluca is, but if that is an outbound trunk,
then <br>
> > this is very bad. The only reason it would fail then is if they
have the <br>
> <br>
> This is one of my outbound trunk...<br>
> <br>
> > outbound dial pattern wrong, which is a sure sign that you are
open in the <br>
> > future to having someone make this kind of call in a way that
does work <br>
> > and leaves you on the hook. Based on your email address, I am
guessing you <br>
> > are in Germany. Looks like they almost have the correct outbound
pattern <br>
> > for dialing from Germany to Israel. It should be 00972592603325
(notice <br>
> > the one less zero in the front). Please tell me that pbxluca
is not an <br>
> > outbound dialing context? If it is, you need to fix this very
quickly.<br>
> <br>
> How can I fix it? Of course, I need to be able to call any phone on
this<br>
> world...<br>
> On a Mail-Server I'd restrict outgoing calls to authenticated users.
I was<br>
> sure, that Asterisk already do that, but I'm not sure anymore...<br>
> How can I restrict it?<br>
</font></tt>
<br><tt><font size=2>I am sure others can chime in, but first things first,
you want inbound calls and outbound calls to be in different contexts.
Don't let your default context reach an outbound line. Your registered
phones will be in a context that can call out which should be different
from the default.</font></tt>
<br>
<br><tt><font size=2>Also, make sure that your phones are registering with
passwords (secret) that are different than the extension number. Makes
it harder to guess.</font></tt>
<br>
<br><tt><font size=2>The big thing to keep in mind dialplan wise is to
never let an inbound call have a path to loop back outbound. The two of
the biggest vectors for fraud will be allowing a non-authenticated sip
call to get outbound over your trunks and to have weak credentials that
can be cracked that will let someone else impersonate your phones.</font></tt>
<br>
<br><tt><font size=2>And you can still wipe out most fraud by restricting
the IP addresses you let in from the outside world. I prefer to have the
most restrictive communications I can and then fix it if I discover that
something doesn't work. Better to fail and fix than to permit and pay for
it later. The providers I tend to like best not only give me what I need
to restrict to their IP ranges, but also put in place restrictions on their
end to only talk to my account from my external static IP address. That
way someone could figure out my credentials, but if they can't spoof my
ip address it still won't work. That is dependent on what the provider
can do though.</font></tt>