> По поводу выпуска наружу:
> fail2ban и прочее это конечно хорошо, но этой борьбы с последствиями сканов
> и переборов можно избежать - для оператора 5060 вывешивается наружу только
> для операторского ip, а для внешних клиентов используется альтернативный порт. Хоть
> 50600. На других портах астериск никто не ищет.

ну я собственно так и хотел сделать - пробросить за нат 5060 для SIP-IP only(с конкретными айпи операторов их будет 2).. но.. порт стопицот тыщ триста сорок затертый я то могу выделить и пробросить для входящих пиров. поможет ли это от портсканнеров? т.е. есть ли смысл вообще с этим заморачиваться если мало-мальски опытный админ просто отсканит весь диапазон и найдет открытый на вход порт for all?