臧敬五本来就应该发一个3分的杂志# Biology - 生物学
A*y
1 楼
w*t
2 楼
一个困惑了一天的iptables问题要请教,
ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里
还能看见人不停的试我的密码,端口就不在允许范围内
下面是我的iptables -S输出
=====================================================================
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060:5061 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060:5061 -j ACCEPT
-A INPUT -j DROP
=====================================================================
下面是asterisk -rvvvv下的信息
==========================================================
[2015-09-28 18:14:39] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for '
212.129.2.176:5090' - Wrong password
[2015-09-28 18:14:49] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.129.2.176:5061' - Wrong password
[2015-09-28 18:15:05] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for
'212.129.2.176:5061' - Wrong password
ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里
还能看见人不停的试我的密码,端口就不在允许范围内
下面是我的iptables -S输出
=====================================================================
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060:5061 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060:5061 -j ACCEPT
-A INPUT -j DROP
=====================================================================
下面是asterisk -rvvvv下的信息
==========================================================
[2015-09-28 18:14:39] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for '
212.129.2.176:5090' - Wrong password
[2015-09-28 18:14:49] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.129.2.176:5061' - Wrong password
[2015-09-28 18:15:05] NOTICE[2135]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed for
'212.129.2.176:5061' - Wrong password
r*m
3 楼
发信人: redteam (红队情报小组), 信区: Biology
标 题: Re: 臧敬五的一年:受人举报从外企高管到本土经理
发信站: BBS 未名空间站 (Wed May 14 14:13:25 2014, 美东)
数文章的压力太大啊。
这种研究,其实和炒辣子鸡丁时少加点辣椒,多放一点盐是一样的。没有什么高级的理
论,也没有什么惊人的发现。如果不是这么high profile,也不会被竖起来当典型。
狂什么呢?我们一年卖几十个亿的药,研发期间发的文章也就是3分5分的。什么苗头还
没有,就这样高调,找抽。
为什么要去发那么高的杂志呢?如果是我,这个水平的工作,我就发一个3分的杂志,
我这个工作就值3分,如果发到30分的杂志去,我就是从神那里盗窃荣誉,神会拿石头
打我。
我对自己的工作还是有数的,即使我自己低估自己,真的有价值我也不会被埋没,因为
我发表了。
标 题: Re: 臧敬五的一年:受人举报从外企高管到本土经理
发信站: BBS 未名空间站 (Wed May 14 14:13:25 2014, 美东)
数文章的压力太大啊。
这种研究,其实和炒辣子鸡丁时少加点辣椒,多放一点盐是一样的。没有什么高级的理
论,也没有什么惊人的发现。如果不是这么high profile,也不会被竖起来当典型。
狂什么呢?我们一年卖几十个亿的药,研发期间发的文章也就是3分5分的。什么苗头还
没有,就这样高调,找抽。
为什么要去发那么高的杂志呢?如果是我,这个水平的工作,我就发一个3分的杂志,
我这个工作就值3分,如果发到30分的杂志去,我就是从神那里盗窃荣誉,神会拿石头
打我。
我对自己的工作还是有数的,即使我自己低估自己,真的有价值我也不会被埋没,因为
我发表了。
j*8
4 楼
6月投票8月全绿
a*o
5 楼
reject呢?光可见accept了,你得把default弄成reject啊。
【在 w*******t 的大作中提到】
: 一个困惑了一天的iptables问题要请教,
: ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里
: 还能看见人不停的试我的密码,端口就不在允许范围内
: 下面是我的iptables -S输出
: =====================================================================
: -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
: -A INPUT -i lo -j ACCEPT
: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
: -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
: -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
【在 w*******t 的大作中提到】
: 一个困惑了一天的iptables问题要请教,
: ubuntu V14,我设置了22等几个端口允许,其他的都block了。 但为何我的asterisk里
: 还能看见人不停的试我的密码,端口就不在允许范围内
: 下面是我的iptables -S输出
: =====================================================================
: -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
: -A INPUT -i lo -j ACCEPT
: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
: -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
: -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
D*a
6 楼
老有人这么自恋,re 就 re 吧,还非得新开个贴
w*t
7 楼
最后一句不是把default都drop了吗?还是我理解错了
【在 a*o 的大作中提到】
: reject呢?光可见accept了,你得把default弄成reject啊。
【在 a*o 的大作中提到】
: reject呢?光可见accept了,你得把default弄成reject啊。
a*o
8 楼
哦哦确实,是我看漏了。
【在 w*******t 的大作中提到】
: 最后一句不是把default都drop了吗?还是我理解错了
【在 w*******t 的大作中提到】
: 最后一句不是把default都drop了吗?还是我理解错了
i*w
9 楼
你的5060和5061是开着的吧
j*2
10 楼
你开着5060和5061,别人为啥不能连?
a*o
11 楼
大家安静,楼主已然躲到厕所里哭去了。
w*t
12 楼
下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
【在 j********2 的大作中提到】
: 你开着5060和5061,别人为啥不能连?
【在 j********2 的大作中提到】
: 你开着5060和5061,别人为啥不能连?
r*i
13 楼
related,established
【在 w*******t 的大作中提到】
: 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
【在 w*******t 的大作中提到】
: 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
w*t
14 楼
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
这句的本意是 允许本地访问外部端口
我的网络 internet modem --- router(port forwarding) ----ubuntu server
这个iptables在ubuntu server上
外部的访问经过路由端口转发到这台主机上,对于主机看来都是192.168.0.1这个内部
地址?
【在 r******i 的大作中提到】
: related,established
这句的本意是 允许本地访问外部端口
我的网络 internet modem --- router(port forwarding) ----ubuntu server
这个iptables在ubuntu server上
外部的访问经过路由端口转发到这台主机上,对于主机看来都是192.168.0.1这个内部
地址?
【在 r******i 的大作中提到】
: related,established
a9
15 楼
从字面看也不仅仅是允许本地访问外部端口的意思啊。
【在 w*******t 的大作中提到】
: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
: 这句的本意是 允许本地访问外部端口
: 我的网络 internet modem --- router(port forwarding) ----ubuntu server
: 这个iptables在ubuntu server上
: 外部的访问经过路由端口转发到这台主机上,对于主机看来都是192.168.0.1这个内部
: 地址?
【在 w*******t 的大作中提到】
: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
: 这句的本意是 允许本地访问外部端口
: 我的网络 internet modem --- router(port forwarding) ----ubuntu server
: 这个iptables在ubuntu server上
: 外部的访问经过路由端口转发到这台主机上,对于主机看来都是192.168.0.1这个内部
: 地址?
a9
16 楼
下面没有了
【在 w*******t 的大作中提到】
: 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
【在 w*******t 的大作中提到】
: 下面的的asterisk的信息能看出来,5090端口也进来了,这个是我疑惑的地方
t*t
17 楼
这个established的意思是已经建立的连接可以过. related主要是给FTP用的, 因为FTP
需要两个端口. 具体5090是不是和5060 related需要查一下ip_conntrack_*的module.
【在 a9 的大作中提到】
: 从字面看也不仅仅是允许本地访问外部端口的意思啊。
需要两个端口. 具体5090是不是和5060 related需要查一下ip_conntrack_*的module.
【在 a9 的大作中提到】
: 从字面看也不仅仅是允许本地访问外部端口的意思啊。
w*t
18 楼
我的网络 internet -- router(port forwarding) --- ubuntu pc( w/ iptables)
iptables 里 drop input
允许一些必要的port
把规则改了改,
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
又加了这几条 drop非法连接
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
======================================================================
asterisk CLi还是出现下面的信息:
212.I29.2.I76
这里的5112端口,我并没有开放
[2015-09-28 13:29:31] NOTICE[2040]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.I29.2.I76:5112' - Wrong password
======================================================================
iptable里把这个IP ban掉, 世界清静了很多,但是还有下面这个能通过
212.83.I86.3是对方的IP,它没能在我的asterisk上注册,但一直试图用我的
asterisk打电话,不知道怎么做到的
这个看不出来是来自什么端口
另外,我的fail2ban也不能捉到这个连接
-- Executing [[email protected]:1] NoOp("SIP/my.own.ip.
address-0000004d", "Received incoming SIP connection from unknown peer to
95011972597633694") in new stack
-- Executing [[email protected]:2] Set("SIP/my.own.ip.
address-0000004d", "DID=95011972597633694") in new stack
-- Executing [[email protected]:3] Goto("SIP/my.own.ip
.address-0000004d", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [[email protected]:1] GotoIf("SIP/my.own.ip.address-
0000004d", "0?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,5)
-- Executing [[email protected]:5] Set("SIP/my.own.ip.address-0000004d
", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2015-09-29 13:12:52.922 CDT.
-- Executing [[email protected]:6] Log("SIP/my.own.ip.address-0000004d
", "WARNING,"Rejecting unknown SIP connection from 212.83.I86.3"") in new
stack
[2015-09-29 13:12:37] WARNING[4287][C-0000004c]: Ext. s:6 @ from-sip-
external: "Rejecting unknown SIP connection from 212.83.I86.3"
-- Executing [[email protected]:7] Answer("SIP/my.own.ip.address-
0000004d", "") in new stack
-- Executing [[email protected]:8] Wait("SIP/my.own.ip.address-
0000004d", "2") in new stack
-- Executing [[email protected]:9] Playback("SIP/my.own.ip.address-
0000004d", "ss-noservice") in new stack
-- Playing 'ss-noservice.ulaw' (
language 'en')
-- Executing [[email protected]:10] PlayTones("SIP/my.own.ip.address-
0000004d", "congestion") in new stack
-- Executing [[email protected]:11] Congestion("SIP/my.own.ip.address-
0000004d", "5") in new stack
== Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
-- Executing [[email protected]:1] Hangup("SIP/my.own.ip.address-
0000004d", "") in new stack
== Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
[2015-09-29 13:13:09] WARNING[2040]: chan_sip.c:4024 retrans_pkt:
Retransmission timeout reached on transmission
895273fdfb2906afa756789b2b66d3f6 for seqno 1 (Critical Response) -- See
https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions
Packet timed out after 32000ms with no response
iptables 里 drop input
允许一些必要的port
把规则改了改,
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
又加了这几条 drop非法连接
-A INPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
======================================================================
asterisk CLi还是出现下面的信息:
212.I29.2.I76
这里的5112端口,我并没有开放
[2015-09-28 13:29:31] NOTICE[2040]: chan_sip.c:28236 handle_request_register
/* */:5060>' failed
for '212.I29.2.I76:5112' - Wrong password
======================================================================
iptable里把这个IP ban掉, 世界清静了很多,但是还有下面这个能通过
212.83.I86.3是对方的IP,它没能在我的asterisk上注册,但一直试图用我的
asterisk打电话,不知道怎么做到的
这个看不出来是来自什么端口
另外,我的fail2ban也不能捉到这个连接
-- Executing [[email protected]:1] NoOp("SIP/my.own.ip.
address-0000004d", "Received incoming SIP connection from unknown peer to
95011972597633694") in new stack
-- Executing [[email protected]:2] Set("SIP/my.own.ip.
address-0000004d", "DID=95011972597633694") in new stack
-- Executing [[email protected]:3] Goto("SIP/my.own.ip
.address-0000004d", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [[email protected]:1] GotoIf("SIP/my.own.ip.address-
0000004d", "0?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,5)
-- Executing [[email protected]:5] Set("SIP/my.own.ip.address-0000004d
", "TIMEOUT(absolute)=15") in new stack
-- Channel will hangup at 2015-09-29 13:12:52.922 CDT.
-- Executing [[email protected]:6] Log("SIP/my.own.ip.address-0000004d
", "WARNING,"Rejecting unknown SIP connection from 212.83.I86.3"") in new
stack
[2015-09-29 13:12:37] WARNING[4287][C-0000004c]: Ext. s:6 @ from-sip-
external: "Rejecting unknown SIP connection from 212.83.I86.3"
-- Executing [[email protected]:7] Answer("SIP/my.own.ip.address-
0000004d", "") in new stack
-- Executing [[email protected]:8] Wait("SIP/my.own.ip.address-
0000004d", "2") in new stack
-- Executing [[email protected]:9] Playback("SIP/my.own.ip.address-
0000004d", "ss-noservice") in new stack
--
language 'en')
-- Executing [[email protected]:10] PlayTones("SIP/my.own.ip.address-
0000004d", "congestion") in new stack
-- Executing [[email protected]:11] Congestion("SIP/my.own.ip.address-
0000004d", "5") in new stack
== Spawn extension (from-sip-external, s, 11) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
-- Executing [[email protected]:1] Hangup("SIP/my.own.ip.address-
0000004d", "") in new stack
== Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/my.
own.ip.address-0000004d'
[2015-09-29 13:13:09] WARNING[2040]: chan_sip.c:4024 retrans_pkt:
Retransmission timeout reached on transmission
895273fdfb2906afa756789b2b66d3f6 for seqno 1 (Critical Response) -- See
https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions
Packet timed out after 32000ms with no response
j*2
19 楼
连的还是你的5060,5112是对方的端口。
你开着asterisk,如果想别人从外部网络call你,那对方自然会跑来连你的5060。但是
如果你配置不对的话,别有用心的人就会不断尝试从外部网络以guest的方式通过你的
trunk去call收费国际收费号码。一旦你的安全没有做好,对方成功call的话,那吸掉
的话费就进了别人的口袋。
看你的log是正常的,所以不用担心。研究一下fail2ban针对asterisk的规则自动
封,或者干脆不管,没啥大碍。但得确定你配置好没有任何洞。
你开着asterisk,如果想别人从外部网络call你,那对方自然会跑来连你的5060。但是
如果你配置不对的话,别有用心的人就会不断尝试从外部网络以guest的方式通过你的
trunk去call收费国际收费号码。一旦你的安全没有做好,对方成功call的话,那吸掉
的话费就进了别人的口袋。
看你的log是正常的,所以不用担心。研究一下fail2ban针对asterisk的规则自动
封,或者干脆不管,没啥大碍。但得确定你配置好没有任何洞。
相关阅读
大家撰个稿,最后让叶诗文投到nature,如何?建议做个网站,跟反对Elsevier那个一样喂,你们生物口都让我老看到专业方向老犹化的曙光了扔鞋比联合抵制更直接给nature主编写信,不如给白春礼写信科学无国界,科学家有祖国Katie Ledecky一个月内提高了5秒,六个月内提高15秒看云起云落, 我仰望星空--一声长叹, 死道扑!我大概说说对抵制的看法我们组的一个男生让我很生气!!!英国自行车选手故意摔倒获得重赛机会中国要强大,还是靠我们支持国货,扶持顶尖企业。 (转载)To: 觉得"nature的文章我们也许反应过度了"的作者不引用Nature见效太慢.三黄包求方案可行性!!!co-microinjection(for transgenic mice!!!)Re: nature的原文可以找到么nature 这个事件需要扩大影响Retraction Watch上关于那片Nature作假的谁有做snp的genotyping 学习资料饶毅同学该跳这个Nature新闻评论坑了把