Peleando con el ACL de Asterisk

Manuel Camargo

unread,

Sep 3, 2014, 4:07:32 PM9/3/14

to aster...@googlegroups.com

Alguien sabria decirme porque el

deny=0.0.0.0/0.0.0.0

permit=a.b.c.d

en el general de sip.conf no me hace ni caso?

he probado

denycontact=0.0.0.0/0.0.0.0

permitcontact=a.b.c.d

pero tiene mala pinta, no es lo que yo voy buscando

la unica alternativa que se me ocurre es que los peers solo conecten al host a.b.c.d en concreto (quitando el dynamic y poniendo la ip del host directamente)

pero preferiria poder montarlo por el ACL de asterisk, si es que funciona....

¿Alguna idea?

Fernando Villares

unread,

Sep 3, 2014, 6:41:48 PM9/3/14

to aster...@googlegroups.com

Si estas usamdo mal la sintaxis

Es deny=0.0.0.0/0.0.0.0

Permit=x.x.x.x/ masd de subred en formato a.b.c.d tambien

Enviado desde mi iPad

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a asterisk-es...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Visita este grupo en http://groups.google.com/group/asterisk-es.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

Manuel Camargo

unread,

Sep 5, 2014, 4:57:16 AM9/5/14

to aster...@googlegroups.com

Hola Fernando

Comentarte que realmente lo primero que probe fue

deny=a.b.c.d/255.255.255.255

y

deny=a.b.c.d/32

pero nada de nada, en el wiki de asterisk comentan que el formato no tiene porque incluir el /XX /XXX.YYY.ZZZ.AAA porque creo que la IP sin mas es /32 por defecto

creo que la funcionalidad es la que no esta operando bien por alguna razón

la pregunta es: ¿Cual es esa razón?

Fernando Villares

unread,

Sep 5, 2014, 8:32:41 AM9/5/14

to aster...@googlegroups.com

La funcionalidad opera sin problemas la usamos desde hace años en asterisk 11 12 funciona ok

Enviado desde mi iPad

Manuel Camargo

unread,

Sep 5, 2014, 8:49:11 AM9/5/14

to aster...@googlegroups.com

Hola Fernando

No dudo que la funcion no sirva, el tema es que a mi no me funciona o a lo mejor el comportamiento no es el que espero

Entiendo que el deny, impide el REGISTER para toda aquella IP o rango que no este contemplado en la ACL, cierto?

El permit/deny, se puede meter en el [general] o tiene que ir a nivel de peer forzosamente?

Saludos,

Fernando Villares

unread,

Sep 5, 2014, 9:45:19 AM9/5/14

to aster...@googlegroups.com

Peer si mal no recuerdo

Enviado desde mi iPad

Manuel Camargo

unread,

Sep 5, 2014, 9:45:22 AM9/5/14

to aster...@googlegroups.com

Ahora entiendo porque el 99% implementa ACL con iptables

Hoy es de esos que te levantas y dices, I'm Loving Asterisk

[Sep 5 09:37:39] NOTICE[9514][C-0000000b]: acl.c:748 ast_apply_acl: SIP Peer ACL: Rejecting '123.123.123.123' due to a failure to pass ACL 'kamailio'

[Sep 5 09:37:39] NOTICE[9514][C-0000000b]: chan_sip.c:25469 handle_request_invite: Failed to authenticate device "SipPhone"<sip:1...@123.123.123.123>;tag=hWzfbzzFpyWt7ArJ5RaT

acl.conf:

[kamailio]

deny=0.0.0.0/0.0.0.0

permit=123.123.123.123/255.255.255.255

Manuel Camargo

unread,

Sep 5, 2014, 5:46:41 PM9/5/14

to aster...@googlegroups.com

Ya he detectado el problema

Al parecer hay un bug ahi dando vueltas con el parametro de SIP dynamic_exclude_static y las ACL (y los contact)

https://issues.asterisk.org/jira/browse/ASTERISK-16435

Yo uso una version 11.6-cert4, no la 11.12, y creo que el ultimo patch se aplico en un a version 11.10+ (o incluso 12, no estoy seguro)

De hecho es que lo he probado quitandolo y poniendolo (yes/no) y salta el error de inmediato

En fins... habra que esperar al Asterisk 13-cert :)

SiscoCasasempere

unread,

Sep 8, 2014, 2:00:20 AM9/8/14

to aster...@googlegroups.com

Hola,..

Aunque no es es exactamente la respuesta a tu problema, ¿por qué no usas SipCheck2 o fail2ban? A mí, al menos, me parece más seguro (o al menos igual de seguro) que los ACL, ya que aíslas el tráfico antes de llegar al Asterisk y creo que es más eficiente en cuanto a consumos del servidor.

Saludos.

El viernes, 5 de septiembre de 2014 23:46:41 UTC+2, Manuel Camargo escribió:

Ya he detectado el problema

Al parecer hay un bug ahi dando vueltas con el parametro de SIP dynamic_exclude_static y las ACL (y los contact)
https://issues.asterisk.org/jira/browse/ASTERISK-16435

Yo uso una version 11.6-cert4, no la 11.12, y creo que el ultimo patch se aplico en un a version 11.10+ (o incluso 12, no estoy seguro)
De hecho es que lo he probado quitandolo y poniendolo (yes/no) y salta el error de inmediato

En fins... habra que esperar al Asterisk 13-cert :)

El viernes, 5 de septiembre de 2014 15:45:22 UTC+2, Manuel Camargo escribió:

Ahora entiendo porque el 99% implementa ACL con iptables

Hoy es de esos que te levantas y dices, I'm Loving Asterisk

[Sep 5 09:37:39] NOTICE[9514][C-0000000b]: acl.c:748 ast_apply_acl: SIP Peer ACL: Rejecting '123.123.123.123' due to a failure to pass ACL 'kamailio'

[Sep 5 09:37:39] NOTICE[9514][C-0000000b]: chan_sip.c:25469 handle_request_invite: Failed to authenticate device "SipPhone"<sip...@123.123.123.123>;tag=hWzfbzzFpyWt7ArJ5RaT

acl.conf:

[kamailio]
deny=0.0.0.0/0.0.0.0
permit=123.123.123.123/255.255.255.255

Manuel Camargo

unread,

Sep 14, 2014, 2:30:36 PM9/14/14

to aster...@googlegroups.com

Si tienes razon Sisco, pero la verdad es que quería usar esto ya que esta :D

Reply all

Reply to author

Forward