> Если вы хотитите защититься от нежелательных атак, то лучше настраивать правила в USER_AGENTS и URI
> GROUPS. 80 процентов аттак отсеивает. Как показывает практика на моем примере, блокировка даже
> какой-то определенной подсети не гарантирует что вас не будут ломать с других IP.
> Я еще использую tls, тогда злоумышленник не может просканировать порты на sip ответы.
+500
Но эти блокировки будут отображаьбся в инцидентах, и их будет раздражающе много (у меня настроено как раз так) и бывали дни когда с утра смотрел инциденты, и видел 4-5 страниц Call denied только за последнюю ночь...
Еще есть один момент - если используются внешние клиенты, то не надо настраивать доменную часть, как IP адрес SBC, лучше нстроить именно как доменное имя. Поскольку все автоматические сканеры/ломалки пытаются либо послать INVITE, либо REGISTER именно с доменной частью в виде IP адреса вашего SBC. И можно настроить URI Group на этот вид доменного имени и включить его в BlackList Security Rule. А другой URI Group (с вашим реальным доменом) включить в Call Flow.
Ну, в общем, позакрываться можно максимально с помощью URI Group, но это не избавляет от кучи инцидентов.
Я по утрам просматриваю, и если есть call denied, то вношу таки в Firewall персональный адрес, а когда из одной 24-й подсети накпливается 2 и более записи - переписываю на всю сеть, а персональные удаляю. Хлопотно, но зато отсеивается всё еще на уровне iptables. Пока за полгода в списке порядка 25-30 записей.