Puncte:0

Cum să limitați pachetele UDP SIP INVITE primite cu firewalld?

drapel ru

Informațiile mele de sistem:

CentOS Linux versiunea 7.9.2009 (Core)
firewall-cmd v0.6.3
iptables v1.4.21
Kernel 3.10.0-1160.25.1.el7.x86_64

Se rulează Asterisk v18.4.0 PBX cu PJSIP. Cariera mea trimite prea mult SIP INVITARE pachete pe secundă, să zicem 20 de apeluri pe secundă de la Al lor VOS3000 softswitch. Cele mai multe dintre ele sunt aglomerate (SIP 503) în punctul meu final de ieșire (de exemplu, doar 2 din cele 20 de apeluri primesc starea de apel).

Determină o utilizare foarte mare a procesorului așa cum o folosesc PHP AGI (FastAGI) pentru fiecare apel primit, precum și atunci când apelul închide.

Acum, vreau să mă limitez SIP INVITARE pachete folosind firewalld. Spune, vreau maxim 3 INVITĂRI pe secundă; alerg

firewall-cmd --permanent --direct --add-rule filtru ipv4 INPUT_direct 0 -p udp --dport 5060 -m string --algo bm --string "INVITE sip:" -m hashlimit --hashlimit-above 3/ sec --hashlimit-mode dstport --hashlimit-name sip -j REJECT --reject-with icmp-port-unreachable
firewall-cmd --reîncărcare

Comenzile de mai sus reușesc, dar nu funcționează. Trimit 20 de apeluri pe secundă folosind SIPp de la o gazdă externă și văd că peste 900 de apeluri pe minut lovesc PBX-ul meu Asterisk.

De asemenea, alergând tcpdump -i orice -nn icmp pe server nu afișează niciun mesaj ICMP inaccesibil pentru portul 5060.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.