比較的新しい文庫だと思っていたが、かなり前の文庫ですね。
書店で探しても無いはずです。
月: 2015年4月
RasPi2 Asterisk iptables
これまでの作業で内線通話が可能になりました。
会議室も使えるようになりました。
しかし、外線発信が出来ていません。
そこで、先日契約したOCNモバイルに付いている050plusを使いたいと思います。
もちろん、LTEを使って外から050plus回線を使うわけですから、セキュリティ的には十二分に注意を払わなければなりません。
まず、
- 050plusの契約を国際電話は利用できないよう設定しています。
- iptablesを使って、国内IPからのみ接続可能とします。
- iptablesのログを監視し、fial2BANで弾く設定をする。
今、これくらいしか思いつきません。
さて、iptablesですが正直今まであまり利用したことがありません。
基本RTX1200ですべて弾いていたものですから。
iptables
iptablesはdefaultでインストールされていますが、iptables-persistentをインストールします。
# apt-get install iptables-persistent
iptables-persistentをインストールすれば、boot時 自動的にruleを復元してくれます。
国外IPのはじき方
国外IPは国別のIP ADDRESS一覧を掲載してくれているところが多々ありますが、
今回は、http://www.ipdeny.com/を利用します。
国内限定と言ってもたくさん有るので、scriptで処理します。
JP_INPUT_OK.sh
ZONE_FILE_URL="http://www.ipdeny.com/ipblocks/data/countries" #http://www.ipdeny.com/ipblocks/data/countries/jp.zone for IP in $(wget -O - http://www.ipdeny.com/ipblocks/data/countries/jp.zone | grep -v "^#|^$" ) do iptables -A INPUT -s $IP -j ACCEPT done iptables -A INPUT -s 60.37.58.74 -p udp -m udp --dport 5061 -j ACCEPT iptables -A INPUT -p udp -m udp --dport 4000:4009 -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
国内全てのIPを許可するのは危ないので、
“iptables -A INPUT -s $IP -j ACCEPT”を工夫すればいいでしょう。
また、ACCEPTには050plusのアドレスを別途記載しています。
これ以外は、DENNYしておきます。
fail2banのインストール
# apt-get install fail2ban
asteriskのログフォーマットを変更します。
/etc/asterisk/logger.conf
[deneral] dateformat=%F %T
この状態だとFROMヘッダが偽装されたfail2banで対応できません。
http://www.voip-info.jp/index.php/SIP-Fail2banにあるpatchを適応することで、
Failed to authenticate user "Anonymous" <sip:anonymous@192.168.1.2>;tag=as105e401c (123.45.67.89:5060)
と表示されるようになり、fail2banで攻撃を防御出来るようなるとのことです。
このあたりの作業は、一番最初に行った作業なので不備間違いが多々あると思います。
よくよく確認しながら作業したほうがいいです。でないと電話代の請求が”どえらい”ことになる。
心臓僧帽弁弁膜症について
実は、昨年 心臓の手術をしました。
表題のとおり、弁膜症の手術です。手術は胸骨正中切開で施術してもらった。
ポートアクセスとか、小さな切開で行える手法もあるらしいが、あまり感心はなかった。
とにかく、無難に手術を終えることが出来る方法を選択した感じ。
自己弁を可能な限り温存し、壊れた部分を修復する形成術で施術してもらった。
病気発覚から約10年 どうにも普段の歩行や階段の昇降がつらく、いよいよダメかという状態での手術でしたが、時期的には心臓が大きくなり始めのいい時期に手術でき、術後 若干肥大した心臓は日に日に元の大きさに戻り、なんとか日々を過ごしていました。
術後 3ヶ月ほどは自宅療養し 仕事復帰して2週間ほど経過した頃、動機、息切れが酷くなった。
心タンポナーデを発症。緊急オペで心嚢穿刺、心嚢水ドレナージをしてもらった。
この穿刺がとんでもなく痛い、激痛です。なんども心嚢穿刺をされている方もいらっしゃるようですが、慣れてくるんでしょうかね?
心タンポの診断施術後、2週間ほど(入院は1週間ほど)で仕事に復帰した。
現在 術後9ヶ月経ったわけですが、一昨日 お風呂(術前から湯船に浸かるのはしんどいから、ずっとシャワー)から上がって、かなり調子が悪くなった。
いつものしんどさと明らかにちがう。
不安になり翌日 主治医に見てもらった。
検査は、聴診、脈拍、心電図、心エコーといつものセットだった。
術前に心エコーをして貰ったときや、心タンポで心エコーをしていただいた時のように、先生はいつもとは違う表情でエコー機材を見てはった。
なんか「やばそーやなー」と思った。
結果的に
今すぐ”どうこう”と言うことはないが、若干 血液の逆流が再発している。
とのことだった。正直 ショックを隠せなかったが、それを察したように、
この程度なら問題は、全くない。
と言ってくれた。
5月中頃に大学病院での定期検査なので、その時に施術した先生にも相談するつもり。
余談ですが、下の2冊は実際に購入してよく読みました。事前に少しは自分上病気を知っておくことも重要ですから。
RasPi2 Asterisk 050plus 収容
asteriskに050plusを収容するには、先日記載したページで取得したID/PASSWORDが必要です。
050plusの通信はsrtpを使っているので、鍵の設定も必要です。
このサイトがわかりやすくて良かったです。
鍵の生成
$ sudo mkdir /etc/asterisk/keys $ cd /etc/asterisk/keys $ sudo ~/src/asterisk-1.8.32.3/contrib/scripts/ast_tls_cert \ -C domain.com -O "My PBX" -d . $ sudo ~/src/asterisk-1.8.32.3/contrib/scripts/ast_tls_cert \ -m client -c ca.crt -k ca.key -C domain.com -O "My PBX" -d . -o 050plus
sip.conf
;050plus maxexpirey=3600 defaultexpirey=3600 tlsenable=yes tlsbindaddr=0.0.0.0 tlscertfile=/etc/asterisk/keys/asterisk.pem tlscafile=/etc/asterisk/keys/ca.crt tlscipher=ALL tlsclientmethod=tlsv1 tlsdontverifyserver=yes register = tls://[nicNm]:[sipPwd]:[sipID]@[tramGwAd]:[Port]/5075/200 ;← SIP番号の200を050plusに当てました。 [050plus] type=friend secret=[sipPwd] port=5075 defaultuser=[sipID] fromuser=[nicNm] host=[tranGwAd] fromdomain=050plus.com context=default insecure=invite,port dtmfmode=inband canreinvite=no disallow=all allow=ulaw allowguest=no callgroup=1 transport=tls encryption=yes nat=yes
のような記述になりますが、全て記述しているわけではありません。
extensions.conf
[default] ; 050plus 着信 exten => 200,1,Dial(SIP/201&SIP/202) ;← 内線201、202のみ着信を受ける。 exten => 200,n,Hangup() ; 発信 exten => .,1,Set(Language()=ja) exten => _2.,1,Goto(naisen,${EXTEN},1) ; 050plus 発信 exten => _0.,1,Goto(outgoing,${EXTEN},1) exten => _X.,n,Playback(privacy-incorrect) exten => _X.,n,Hangup() [naisen] exten => _X.,1,NoOp(${CALLERID}) exten => _X.,n,GotoIf($["${EXTEN:0:1}" = "8"]?parkedcall) exten => _X.,n,GotoIf($["${EXTEN:0:1}" = "9"]?voicemail) exten => _X.,n,GotoIf($["${EXTEN:2:4}" = "99"]?groupcall) [outgoing] exten => _[*#0-9].,1,Dial(SIP/${EXTEN}@050plus,30,r) exten => _[*#0-9].,n,Congestion exten => _[*#0-9].,n,Hangup() ;/** to ParkedCall exten => _X.,n(parkedcall),NoOp(${CALLERID}) include => parkedcalls exten => _X.,n,ParkedCall(${EXTEN}) exten => _X.,n,Playback(pbx-invalid) exten => _X.,n,Hangup() ;/** to VoiceMail exten => _X.,n(voicemail),NoOp(${CALLERID}) exten => _X.,n,VoicemailMain(${CALLERID(num)},s) exten => _X.,n,Hangup() ;/** error - busy exten => _X.,n(busy),NoOp("---Calling but -BUSY---") exten => _X.,n,Voicemail(${EXTEN}) exten => _X.,n,Hangup() ;/** error - noanswer exten => _X.,n(noanswer),NoOp("---Calling but -NOAWNSER---") exten => _X.,n,Voicemail(${EXTEN}) exten => _X.,n,Hangup()
extensions.confは理解するまで難しいですね。
このまま記述しても動かないと思います。
詳細は、vo-ip infoを見るといいでしょう。
気が向けば、自分なりに理解したsip.confとextensions.confの解説を書いてみたいと思う。
050plus接続確認
*CLI> sip show registry Host dnsmgr Username Refresh State Reg.Time kar2-f2fcp.050plus.com:5075 N fmc00000000 3585 Registered Sat, 25 Apr 2015 15:39:30
RasPi2 Asterisk CLI について
Asterisk CLI
*CLI> core show help
よく使いそうなコマンドを書いておく
コマンド | 動作 | 備考 |
! | shellの実行 | |
ael reload | ael リロード | |
config reload | config reload config_file | |
console dial | CLIコンソールからダイアル | console dial 201 |
core reload | 全体をリロード | |
core restart now | asteriskを再起動 | |
core restart when convenient | ||
core show application | ||
core show channel | ||
core show codecs[audio/video] | codecの表示 | core show codecs audio |
core show codec | core show codec 1 | |
core show settings | asteriskの設定ファイルの場所などを表示 | |
core show translation | ||
dahdi restart | ||
dialplan reload | ||
module load | moduleロード | module load module_name |
module show [like] | ||
module unload | module unoad module_name | |
moh reload |