<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 27, 2016 at 5:28 PM, Vitor Mazuco <span dir="ltr"><<a href="mailto:vitor.mazuco@gmail.com" target="_blank">vitor.mazuco@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi to everybody<br>
<br>
my system is be attack, but I dont know what this means<br></blockquote><div><br></div><div><snip> <br></div> <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config category='132'<br>
global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config category='133'<br>
global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config category='134'<br>
global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config category='135'<br>
global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config category='136'<br>
global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config<br>
category='1000' global force_rport='No' peer/user force_rport='Yes')<br>
[May 27 15:52:33] NOTICE[2306] chan_sip.c: The 'username' field for<br>
sip peers has been deprecated in favor of the term 'defaultuser'<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config<br>
category='1003' global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! will be sent to a<br>
different port than replies for an existing peer/user. If at all<br>
possible,<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! use the global 'nat'<br>
setting and do not set 'nat' per peer/user.<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! (config<br>
category='2000' global force_rport='No' peer/user force_rport='Yes')<br></blockquote><div><br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! PLEASE NOTE: Setting<br>
'nat' for a peer/user that differs from the  global setting can make<br>
[May 27 15:52:33] WARNING[2306] chan_sip.c: !!! the name of that<br>
peer/user discoverable by an attacker. Replies for non-existent<br>
peers/users<br>
<br>
What happen with my Asterisk, and how to protect with this?<br></blockquote><div><br></div><div>Your system is not under attack.  You have a configuration mismatch between the<br></div><div>global SIP nat setting and the per peer/user nat setting for the indicated peer/users.<br>The warning messages are indicating a potential security vulnerability in your<br>configuration for each peer/user and are describing what can happen and what you<br>need to do if those peer/users are exposed to the outside world.<br><br></div><div>Your global SIP nat setting is NO for force_rport and several peers are set to YES<br>for force_rport.<br><br></div><div>In simplest terms only use the global SIP nat setting and do not use the per peer/user<br></div><div>nat settings.<br></div><div><br></div><div>Richard<br></div></div><br></div></div>