<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <font face="Times New Roman">Hi,<br>
      I just was trying to do this myself the other day and had some
      issues but seemed to of gotten it worked out. I'm using mr8.3.1,
      if I'm doing this wrong anyone feel free to correct me, everything
      that I did here came from items I found searching this list. What
      I had to do was edit /etc/ngcp-config/constants.yaml and set
      CT=$ct under the kamailio -> proxy -> log -> request
      section like so:<br>
      <br>
          log:<br>
            request:<br>
            - R=«$ru»<br>
            - ID=«$ci»<br>
            - CT=$ct<br>
            - UA='$ua'<br>
      <br>
      I added this to the proxy section because this is where the bad
      authentications where showing.<br>
      <br>
      Then after applying the change and seeing that it is showing up in
      kamailio-proxy.log, make a fail2ban filter in
      /etc/fail2ban/filter.d/kamailio.conf<br>
      <br>
      [INCLUDES]<br>
      [Definition]<br>
      <br>
      # filter for kamailio messages<br>
      <br>
      failregex = Authentication failed, no credentials - R=.* ID=.*
      CT=<sip:.*@<HOST>:.*><br>
                  Authentication failed, invalid user - R=.* ID=.*
      CT=<sip:.*@<HOST>:.*><br>
                  Consecutive Authentication Failure for '.*' UA='.*'
      IP='«<HOST>»'<br>
      <br>
      It looks though that the "</font><font face="Times New Roman"><font
        face="Times New Roman">Consecutive Authentication Failure"
        failregex should work without any modifications, but for the
        other auth failures there was no IP showing in the log which is
        why I changed the constants.yaml file. Also my failregex may be
        a little rough here and could be improved...<br>
        Again if there is a better way to do this or this is wrong,
        anyone please feel free to let me know. But for the moment this
        appears to be working for me and banning things.<br>
        <br>
        <br>
      </font></font><br>
    <pre class="moz-signature" cols="72">--
Scott C. Fertig
Digium Certified Asterisk Administrator (dCAA)
WCOIL Network Operations Lead
ph: 419.229.2645 x1028
fax: 419.229.5278
<a class="moz-txt-link-abbreviated" href="mailto:scottf@staff.wcoil.com">scottf@staff.wcoil.com</a></pre>
    <div class="moz-cite-prefix">On 4/24/20 9:32 AM,
      <a class="moz-txt-link-abbreviated" href="mailto:cappellari@connectlife.it">cappellari@connectlife.it</a> wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:653713390.21288.1587735172526.JavaMail.zimbra@connectlife.it">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div style="font-family: arial, helvetica, sans-serif; font-size:
        12pt; color: #000000">
        <div>Hi everyone. Has anyone installed fail2ban with spce? I
          followed this guide:
<a class="moz-txt-link-freetext" href="https://www.sipwise.org/news/technical/securing-your-ngcp-against-sip-attacks/">https://www.sipwise.org/news/technical/securing-your-ngcp-against-sip-attacks/</a></div>
        <div><br>
        </div>
        <div>the fail2ban log file does not detect the wrong logins ..
          If I try the wrong logons, for example with ssh, the log
          detects them and bans the ip .. any advice? Thanks</div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
    </blockquote>
    <br>
  </body>
</html>