[AsteriskBrasil] ataque

jose jasanchez em terra.com.br
Segunda Janeiro 17 08:37:27 BRST 2011 

Bom dia Mario nao vejo como forma antipatica e sim como ajuda, obrigado

1-Quanto ao iniciar o firewall apesar da pouca experiencia isso é o basico que devo saber e está ok.
2-nao sei porque mas se tiro essa linha do final nao bloqueia nada
3-Aqui fiz uma coisa e escrevi outra

Nao tenho experiencia sobre o iptables, se alguem puder enviar um exemplo eficiente agradeço, minha unica duvida é porque mesmo com DROP como o ip do invasor aparece no full do asterisk?

Obrigado


From: Mário Venâncio 
Sent: Saturday, January 15, 2011 11:56 AM
To: asteriskbrasil em listas.asteriskbrasil.org 
Subject: Re: [AsteriskBrasil] ataque


Olá José

Três comentários:

1). Pelo que estou vendo você está usando DEBIAN. Se for isso, você está colocando o caminho do seu script de firewall dentro de algum arquivo de inicialização? Por que estou perguntando isso? Toda vez que você reiniciar a máquina as regras de firewall vão desaparecer. Um exemplo de como você poderá resolver isso é editando o arquivo "/etc/rc.local" e incluir uma linha com o caminho do arquivo de firewall "/root/caminho_do_meu_firewall";

2). Uma coisa que não entendi no seu script de firewall: uma vez que você determinou para a CHAIN INPUT que a política "POLICY" será DROP, porque na última linha do seu arquivo você colocou "$IPT -A INPUT -i $IFWAN -p udp -s $ALL -j DROP" ? Por que pergunto isso? Quando política é DROP tudo está bloqueado e você terá que preocupar somente com abrir e não fechar. Deu para entender?....

3). Na parte do seu firewall "# Bloqueia SSH na interface externa e libera na interna", a regra "$IPT -A INPUT -i $IFWAN -p tcp --dport 22 -m limit --limit 1/s -j ACCEPT" está aceitando conexões da rede externa. Não está de acordo com o comentário que você fez: "#Bloqueia SSH na interface externa e libera na interna".

Desculpe se fui antipático..... Espero ter ajudado.

Mário Venâncio



Em 14/1/2011 19:26, jose escreveu: 


  Pessoal preciso de um auxilio

  tenho um firewall com iptables mas o que acontece é que o individuo consegue de alguma forma ficar tentanto a invasao pois no full aparece

  [Jan 14 14:24:28] NOTICE[2730] chan_sip.c: Registration from '"215" <sip:215 em 189.129.138.13>' failed for '211.139.121.85' - Wrong password

  meu iptables esta com o drop , se eu pingar o ip nem vai e alem do mais tentei me conectar via softphone e nao bate o meu ip no full, o que posso fazer para barrar isso pois o bicho tem uma banda alta e o meu servidor começa a pingar com 800 , 1000 m/s
  #!/bin/bash

  #

  # Script Firewall para o servidor ASTERISK

  #

  # Variaveis

  IPT="/sbin/iptables"

  IFLAN=eth0

  IFWAN=eth2

  ALL=0/0

  IPIFLAN=192.168.2.10

  IPIFWAN=exemplo.no-ip.biz

  REDE=192.168.9.0/24

  LOCALHOST=127.0.0.1

  # Limpar Tabela

  echo "#"

  echo "# Limpando Tabelas..."

  $IPT -F INPUT

  echo "# OK INPUT"

  $IPT -F OUTPUT

  echo "# OK OUTPUT"

  $IPT -F FORWARD

  echo "# OK FORWARD"

  echo "#"

  echo "#### TABELA INPUT ####"

  echo "## POLICY ##"

  echo "#"

  # ESTABLISHED,RELATED ACCEPT

  $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  $IPT -A INPUT -p tcp -s $ALL -d $LOCALHOST -j ACCEPT

  echo "# ATIVADO ESTABLISHED,RELATED ACCEPT"

  # INPUT DENY

  $IPT -P INPUT DROP

  echo "# ATIVADO INPUT DROP"



  # Bloqueia SSH na interface externa e libera na interna

  $IPT -A INPUT -i $IFLAN -p tcp --dport 22 -m limit --limit 1/s -j ACCEPT

  $IPT -A INPUT -i $IFWAN -p tcp --dport 22 -m limit --limit 1/s -j ACCEPT



  #### BLOQUEAR PORTA QUE VEM DE FORA ####

   $IPT -A INPUT -i $IFWAN -p udp -s $ALL -j DROP


_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

--------------------------------------------------------------------------------


_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110117/02ee246a/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil