<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <font face="Times New Roman">Hi,<br>

      I just was trying to do this myself the other day and had some

      issues but seemed to of gotten it worked out. I'm using mr8.3.1,

      if I'm doing this wrong anyone feel free to correct me, everything

      that I did here came from items I found searching this list. What

      I had to do was edit /etc/ngcp-config/constants.yaml and set

      CT=$ct under the kamailio -> proxy -> log -> request

      section like so:<br>

      <br>

          log:<br>

            request:<br>

            - R=Â«$ruÂ»<br>

            - ID=Â«$ciÂ»<br>

            - CT=$ct<br>

            - UA='$ua'<br>

      <br>

      I added this to the proxy section because this is where the bad

      authentications where showing.<br>

      <br>

      Then after applying the change and seeing that it is showing up in

      kamailio-proxy.log, make a fail2ban filter in

      /etc/fail2ban/filter.d/kamailio.conf<br>

      <br>

      [INCLUDES]<br>

      [Definition]<br>

      <br>

      # filter for kamailio messages<br>

      <br>

      failregex = Authentication failed, no credentials - R=.* ID=.*

      CT=<sip:.*@<HOST>:.*><br>

                  Authentication failed, invalid user - R=.* ID=.*

      CT=<sip:.*@<HOST>:.*><br>

                  Consecutive Authentication Failure for '.*' UA='.*'

      IP='«<HOST>»'<br>

      <br>

      It looks though that the "</font><font face="Times New Roman"><font

        face="Times New Roman">Consecutive Authentication Failure"

        failregex should work without any modifications, but for the

        other auth failures there was no IP showing in the log which is

        why I changed the constants.yaml file. Also my failregex may be

        a little rough here and could be improved...<br>

        Again if there is a better way to do this or this is wrong,

        anyone please feel free to let me know. But for the moment this

        appears to be working for me and banning things.<br>

        <br>

        <br>

      </font></font><br>

    <pre class="moz-signature" cols="72">--

Scott C. Fertig

Digium Certified Asterisk Administrator (dCAA)

WCOIL Network Operations Lead

ph: 419.229.2645 x1028

fax: 419.229.5278

<a class="moz-txt-link-abbreviated" href="mailto:scottf@staff.wcoil.com">scottf@staff.wcoil.com</a></pre>

    <div class="moz-cite-prefix">On 4/24/20 9:32 AM,

      <a class="moz-txt-link-abbreviated" href="mailto:cappellari@connectlife.it">cappellari@connectlife.it</a> wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:653713390.21288.1587735172526.JavaMail.zimbra@connectlife.it">

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <div style="font-family: arial, helvetica, sans-serif; font-size:

        12pt; color: #000000">

        <div>Hi everyone. Has anyone installed fail2ban with spce? I

          followed this guide:

<a class="moz-txt-link-freetext" href="https://www.sipwise.org/news/technical/securing-your-ngcp-against-sip-attacks/">https://www.sipwise.org/news/technical/securing-your-ngcp-against-sip-attacks/</a></div>

        <div><br>

        </div>

        <div>the fail2ban log file does not detect the wrong logins ..

          If I try the wrong logons, for example with ssh, the log

          detects them and bans the ip .. any advice? Thanks</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

    </blockquote>

    <br>

  </body>

</html>