<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 14, 2015 at 9:40 AM, Ahmed Habiba <span dir="ltr">&lt;<a href="mailto:ahabiba@gmail.com" target="_blank">ahabiba@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div style="margin:0px">Thank you really David,</div><div style="margin:0px"><br></div><div style="margin:0px">Here is my point, the sip-trace in the first mail shows that, the call comes to public context mainly through port 5080, and however the originator IP was not defined in my ACL list Freeswitch continue to process the call for some reason.</div></div></blockquote><div>Just an FYI, the external profile does not have auth-calls param set to true, so FS simply tries to route the call in the public context without sending back an auth challenge. Since the public context is pretty paranoid it&#39;s not exactly easy to dial out. Also, just because FS tries to route the call does not mean that FS considers the call to be &quot;authenticated.&quot; <br><br></div><div>If you want all traffic coming in to your server to be authenticated then either send it all to the internal profile (i.e. port 5060) or add auth-calls to your external profile.<br><br></div><div>The bigger question you may want to ask is: why are these random IP even getting to your server? Do you allow public access to your system? If so, why? If not, then you need a firewall (iptables or whatnot) to block those SIP messages from ever getting to your FreeSWITCH. You may also be interested in something like fail2ban and <a href="http://voipbl.org">voipbl.org</a>.<br><br></div><div>-MC<br></div></div><div class="gmail_quote"><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div style="margin:0px"><br></div><div style="margin:0px">even if it come to 5060, I was expecting some request for digest authentication, which is not shown in the log.</div><div style="margin:0px"><br></div><div style="margin:0px"><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif;color:rgb(127,127,127)"><b>From: </b></span><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif">David Villasmil Govea &lt;<a href="mailto:david.villasmil@gmail.com" target="_blank">david.villasmil@gmail.com</a>&gt;<br></span></div><span class=""><div style="margin:0px"><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif;color:rgb(127,127,127)"><b>To: </b></span><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif">FreeSWITCH Users Help &lt;<a href="mailto:freeswitch-users@lists.freeswitch.org" target="_blank">freeswitch-users@lists.freeswitch.org</a>&gt;<br></span></div></span><div style="margin:0px"><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif;color:rgb(127,127,127)"><b>Date: </b></span><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif">January 14, 2015 at 8:30:35 PM GMT+3<br></span></div><div><div class="h5"><div style="margin:0px"><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif;color:rgb(127,127,127)"><b>Reply-To: </b></span><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif">FreeSWITCH Users Help &lt;<a href="mailto:freeswitch-users@lists.freeswitch.org" target="_blank">freeswitch-users@lists.freeswitch.org</a>&gt;<br></span></div><div style="margin:0px"><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif;color:rgb(127,127,127)"><b>Subject: </b></span><span style="font-family:-webkit-system-font,&#39;Helvetica Neue&#39;,Helvetica,sans-serif"><b>Re: [Freeswitch-users] Security Issue</b><br></span></div><br><br><p dir="ltr">Authorization is done if you configure your sip profile to do it. By default 5060 (internal) requires authentication,  5080 (external) doesn&#39;t but it does use the ACL to allow or not calls.<br></p></div></div></div></blockquote><br></div></div></div>