> как у вас там работает ip-телефония?

Просто прекрасно работает!
Есть несколько способов защититься от этого:
1. Firewall с ACL, если там 3 софтфона и аст.
2. Fail2ban, если клиенты тоже могут быть во внешке и процессорные ресурсы позволяют.
3. Бордерконтроллер, программный или аппаратный. Тут вариантов много. Кто-то покупает, кто-то собирает свою SBC на связке Kamailio+freeswitch. Кто-то делает всю фильтрацию на kamailio и диспетчером кидает на асты. Кто-то выносит оттуда медиа на отдельные сервера.

> А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.

Там всё сложно потому что сама задача сложна.
Представь себе ситуацию когда собралась видеоконференция из 5 человек, которые во время разговора пишут в чат и передают друг другу файлы. Всё это можно сделать на одном лишь sip, но можно и без него (webrtc). Причем в этой задаче у одного двойной нат, у второго симметричный нат (он пошел через релей) у третьего UPnP у четвертого внешний IPv6, но они с пятым сидят в одной локалке IPv4. Цель: p2p-соединение с минимальными задержками, динамической сменой кодеков при передаче медиа. Ну... как? Сможешь выдать решение которое лучше чем весь "sip-мирок"?