Whitelist External Domain

godril · February 9, 2016, 7:14pm

Halo,
ketika harus allow anonymous sip call, apakah di Asterisk ada mekanisme mengallow domain2 tertentu untuk inbound call? Sehingga jika ada call masuk (dalam kasus ini yang menggunakan freepbx) lalu diterima context from-sip-external, jika tidak dari domain dalam daftar whitelist, langsung hangup/reject?

anton · February 10, 2016, 12:07am

tidak ada, bila ingin whitelist spt itu maka diset tidak allowguest lalu tambahkan 1 per 1 trunk yg diallow

isinya cukup type peer, host dan context

anton

godril · February 10, 2016, 2:09am

Hmm tetep harus begitu ya. Baik terima kasih mas @anton

anton · February 10, 2016, 2:30am

kalo saya sih memilih biarkan saja allowguest agar semua orang bisa telepon. pbx apapun jenisnya di kantor2 jg jarang malah ga pernah pakai whitelist kan.

untuk mengusir gangguan saya bisa gunakan fail2ban dan ya regular checkup aja, tambahkan 1 per 1 ke iptables untuk yang mencurigakan dan lolos pengawasan fail2ban

anton

godril · February 10, 2016, 4:09am

saya sudah mengaktifkan fail2ban juga… cuma ketika context from-sip-external itu dihit dengan uri yang tidak sengaja (dari sekian probe) mengenai extensi, jadi ada kring bolak balik dari source2 tersebut. Sedang mencari pola di log yang bisa dimasukkan ke fail2ban. Tapi sependek yang saya pahami sepertinya memang harus mengedit from-sip-external ini. Opsi lain sepertinya harus ditameng pake semacam OpenSIPS atau kamailio.

godril · February 14, 2016, 3:05am

Hmmmm… Ada opsi autocreatepeer=no ini apakah untuk menangkal INVITE dari source aneh2 itu ya? Jika diset demikian apakah akan berpengaruh ke panggilan masuk dari yg menggunakan ENUM?

garuk2 dengkul

anton · February 14, 2016, 3:33am

autocreatepeer by default no, artinya INVITE masuk tdk jadi peer, sebaliknya maka otomatis jadi peer dg nama peer sesuai FROM nya

yg paling memungkinkan adalah dengan override context from-sip-external dan tambahkan check ke daftar whilelist

anton

godril · February 14, 2016, 4:16am

oke… saya coba dulu.

godril · February 14, 2016, 1:58pm

postingan sebelumnya saya cancel… kayaknya ada yang salah sama logic saya.

godril · February 14, 2016, 4:21pm

Oke sudah bisa… ternyata panggilan ke sesama realm tinggal ditambahkan di SIP alias, dan ndak perlu disetup di inbound route dengan DID tertentu.

Sedangkan untuk context from-sip-external yang defaultnya:
[from-sip-external] exten => _.,1,NoOp(Received incoming SIP connection from unknown peer to ${EXTEN}) exten => _.,n,Set(DID=${IF($["${EXTEN:1:2}"=""]?s:${EXTEN})}) exten => _.,n,Goto(s,1) ... ...

Diganti menjadi

[from-sip-external] exten => _.520123XXXXX,1,NoOp(Received incoming SIP connection from unknown peer to ${EXTEN}) exten => _.520123XXXXX,n,Set(DID=${IF($["${EXTEN}"=""]?s:${EXTEN})}) exten => _.520123XXXXX,n,Goto(s,1) ... ...

_.520123XXXXX menyesuaikan prefix yang didapat dari teleponrakyat.id. Dengan perubahan tersebut panggilan masuk dari source2 tidak dikenal (diluar ENUM dari E162.ID) sudah banyak berkurang.