Первый раз столкнулся, как бороться подскажите.Станция за NAT. Нужна доп информация - отвечу.

[12/08/30 11:02:16] ===== START iPECS-MG_SYSTEM =====
[12/08/30 11:02:16] Version : iPECS-MG 55MxB.0Cb
[12/08/30 11:02:16] Release Date : APR/12
[12/08/30 11:02:16] Working Dir : /
[12/08/30 11:02:16] Process ID : (PID 73)
[12/08/30 11:02:16] New DB Type Indexing for System Init !!
[12/08/30 11:02:16] First Main Act2 Init-Complete Ver(1.1)
[12/08/30 11:02:16] [NET_INIT] Ethernet IP : 192.168.0.5
[12/08/30 11:02:16] Dsp Version : 1.1(10/03/16)
[12/08/30 11:02:16] Boot Version : 1.1Ab AUG/11
[12/08/30 11:02:16] OS Version : 1.1Ab AUG/11
[12/08/30 11:02:16] Comp - 2012/04/27 13:21:21
[12/08/30 11:02:35] [sipstack_task] Success sip stack initialization...
[12/08/30 11:02:38] [OAM ][REGIST ] RESTART CMD was sent to device 0035!!!
[12/08/30 14:20:13] Unknown Terminal(IP : 62.114.111.30, TelNum : 1000) registers to CM

[12/08/30 14:21:02] Unknown Terminal(IP : 69.175.12.126, TelNum : 1465755323) registers to CM

[12/08/30 14:22:00] Unknown Terminal(IP : 69.175.12.126, TelNum : 9194) registers to CM

[12/08/30 14:23:12] Unknown Terminal(IP : 69.175.12.126, TelNum : 310187902) registers to CM

[12/08/30 14:24:00] Unknown Terminal(IP : 69.175.12.126, TelNum : 7878) registers to CM

[12/08/30 14:25:03] Unknown Terminal(IP : 69.175.12.126, TelNum : 2893323749) registers to CM

Для начала SIP Station Service(382)[N] --> 407 Authentication в ON.
И это попытки зарегистрироваться. У вас порт 5060 проброшен на MPB?

407 Authentication =ON
5060 на МPB

и это не попытки а совершенные звонки по 5-10 мин куда звонили тоже известно

Коль 5060 проброшен, то и пытаются злоумышленники по sip зарегистрироваться. От попыток таких никуда не деться.
Можно порт 5060 разрешить только с конкретных айпишников.

О как. У нас бывало по первости на LIK, что регистрировались(не назвонили никуда) по sip, но после включения 407 Authentication регистраций не наблюдалось. А попытки часто есть. Если 407 Authentication выключено, то для регистрации достаточно знать номер sip абонента.

Возможно, я неправильно понял трассировку. Т.е., в ней отображены номера, которые вызывали? А от имени каких внутренних абонентов отметились эти вызовы? Или вот Unknown Terminal и звонил?
А H323 пользуете?

H323 не используем.
Например
[12/08/30 14:23:12] Unknown Terminal(IP : 69.175.12.126, TelNum : 310187902) registers to CM
310187902 - это и есть номер как он зарегался он и звонил

А у вас что, на станции есть такой номер 310187902?

втом то и дело что нету

Вообще, пишет то registers to CM, т.е., регистрируется, как я понимаю. Но не видно, чтобы зарегистрировался такой номер.

А где видно, что этот номер куда то там звонил аж по 10 мин.?

[12/08/30 00:11:12] Unknown Terminal(IP : 62.114.97.185, TelNum : 8016) registers to CM
[12/08/30 00:12:03] Unknown Terminal(IP : 62.114.97.185, TelNum : 140) registers to CM
[12/08/30 01:14:34] Unknown Terminal(IP : 62.114.97.185, TelNum : 1704236071) registers to CM
[12/08/30 03:53:13] Unknown Terminal(IP : 37.8.126.220, TelNum : 101) registers to CM
[12/08/30 04:14:19] Unknown Terminal(IP : 62.114.75.124, TelNum : 1013) registers to CM
[12/08/30 05:11:10] Unknown Terminal(IP : 182.140.241.10, TelNum : 2813068090) registers to CM

а тут 140 и 101 есть и видно что used.

запросил у провайдера детализацию

Странно, нет же у вас в плане нумерации таких номеров, вы пишите.

А, 140 и 101 у вас имеются? Что за абоненты?

140 и 101 SIP телефоны. 101 стоит в локальной сети с MPB, 140 внешний

Ну used они, а где видно, что это звонит этот самый неизвестный терминал?

На тот момент 407 было включено?

407 включено с момента установки станции

Тогда, я думаю, это всего лишь попытки зарегистрироваться! 101 и 140 у вас подключены, в работе?

подключены. Я бы не беспокоился если бы это были попытки, но по детализации звонков в это время они были(звонки) известна их длительность и даже номера на которые звонили(Австрия)

А звонили, именно, 101, 104? Вы со стороны станции регистрируете кто куда звонит?
У вас имеются sip лицензии? Ваши абоненты 101 и 140 какое оборудование используют?
Если кто то назвонил в Австрию - это, конечно, не есть гуд!

да SIP Phone 5 Copy. 101 и 140 сип телефоны Grandstream GXV3175

Своего билинга не имею, по этому ориентируюсь только на лог и билинг провайдера.

Проверил на своей станции... Вроде выясняется следующее, что записи такого вида:
[12/08/30 21:02:46] Unknown Terminal(IP : 124.46.113.98, TelNum : 143) registers to CM
[12/08/30 21:04:51] Unknown Terminal(IP : 124.46.113.98, TelNum : 19996) registers to CM
которые выводятся в системном логе, означают только то, что была попытка зарегистрироваться с указанным номером (User_Id). Hо регистрация не прошла, т.к. для этого номера отсутствуют какие-либо регистрационные данные (не прописан в таблице).
Если же была попытка зарегистрироваться, но регистрация не прошла из-за неверной авторизации (пароля), то такие попытки в этот лог не попадают.
Так что, уваж. Dron был прав, были попытки зарегистрироваться на станции с "левыми" номерами. Но в лог они попали именно потому, что в регистрации было отказано (Unknown Terminal). И тем более эти записи не указывают на какие-либо звонки в Австрию...