[AsteriskBrasil] RES: Bloqueio de ips fora do Brasil por conta de ataques
Anderson Alipio
anderson em tsci.com.br
Sábado Novembro 5 01:57:13 BRST 2011
Libera para todas as faixas do Brasil e bloqueia o resto
--
#!/bin/bash
IPT=/sbin/iptables
MDP=/sbin/modprobe
$MDP ip_nat_sip
$MDP ip_conntrack_sip
$IPT -F
$IPT -F -t nat
$IPT -A INPUT -s 177.0/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.0/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.32/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.32/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.64/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.64/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.96/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 177.96/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 186.192/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 186.192/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 186.224/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 186.224/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.0/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.0/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.32/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.32/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.64/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.64/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.96/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 187.96/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.0/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.0/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.32/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.32/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.64/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.64/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.96/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 189.96/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.17/16 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.17/16 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.18/15 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.18/15 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.20/16 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.20/16 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.96/13 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.96/13 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.128/9 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 200.128/9 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.0/12 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.0/12 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.16/12 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.16/12 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.32/12 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.32/12 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.48/12 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.48/12 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.64/11 -p tcp --dport 5060 -j ACCEPT
$IPT -A INPUT -s 201.64/11 -p udp --dport 5060 -j ACCEPT
$IPT -A INPUT -p tcp --dport 5060 -j DROP
$IPT -A INPUT -p udp --dport 5060 -j DROP
--
--
Atenciosamente,
Anderson Alipio
anderson em tsci.com.br
Em 04/11/2011 23:54, Lucas Pires Gomes escreveu:
> http://pastebin.com/Sxp3Swsx
> Att
> Lucas Pires Gomes
> Gomes | IT Consulting & Support
>
> ------------------------------------------------------------------------
> *De:* Wladimir Danielski <wroot em goldentelecom.com.br>
> *Para:* asteriskbrasil em listas.asteriskbrasil.org
> *Enviadas:* Sexta-feira, 4 de Novembro de 2011 20:24
> *Assunto:* [AsteriskBrasil] RES: Bloqueio de ips fora do Brasil por
> conta de ataques
>
> Opa,
> Tá na mão, segue acesso somente para américa latina, incluindo a rede
> IPGSM claro/vivo/tim/brt.
> Wladimir Danielski
> #VOIP SOMENTE NO BRASIL
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 177.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 177.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 181.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 181.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 186.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 186.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 187.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 187.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 188.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 188.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 189.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 189.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 190.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 190.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 200.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 200.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 201.0.0.0/8 --dport
> 5060:5061 -j ACCEPT
> iptables -A INPUT -i $IF_EXTERN -p UDP -s 201.0.0.0/8 --dport
> 10000:30000 -j ACCEPT
> #FECHA TUDO
> iptables -A INPUT -i $IF_EXTERN -j DROP
> *De:* asteriskbrasil-bounces em listas.asteriskbrasil.org
> [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] *Em nome de
> *Ricardo Landim
> *Enviada em:* sexta-feira, 4 de novembro de 2011 18:25
> *Para:* asteriskbrasil em listas.asteriskbrasil.org
> *Assunto:* Re: [AsteriskBrasil] Bloqueio de ips fora do Brasil por
> conta de ataques
> Eu uso o ACL do proprio asterisk....
>
> Dá uma estudada nas variaveis permit e deny!
> Em 4 de novembro de 2011 17:52, Felippe <alcaponefelippe em bol.com.br
> <mailto:alcaponefelippe em bol.com.br>> escreveu:
> Ola.
>
> Vi falando do fail2ban mas não consegui fazer funcionar 100% ainda.
> Alguem sabe me dizer o comando do iptables que bloqueia todos os ips e
> deixa somente liberado o ip com inicio 187,189,200 e 201?
>
> Tentei
> iptables -I INPUT -s 0.0.0.0/24 <http://0.0.0.0/24> -j DROP
> iptables -I INPUT -s 187.0.0.0/24 <http://187.0.0.0/24> -j ACCEPT
> iptables -I INPUT -s 189.0.0.0/24 <http://189.0.0.0/24> -j ACCEPT
> iptables -I INPUT -s 200.0.0.0/24 <http://200.0.0.0/24> -j ACCEPT
> iptables -I INPUT -s 201.0.0.0/24 <http://201.0.0.0/24> -j ACCEPT
>
> Mas nao deu. Mesmo assim os ataques continuam..
> A exemplo de um ataque agora com o ip 221.176.3.163 fiz a regra:
> iptables -I INPUT -s 221.0.0.0/24 <http://221.0.0.0/24> -j DROP mas
> tb nao adiantou.
> Bom eu sei que o que falta é experiencia com iptables da minha parte.
> rsrs. Mas no sufoco se alguem puder enviar alguma coisa será bem vinda.
>
> Obg
> Felippe
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> <http://www.khomp.com.br>
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br <http://www.digivoice.com.br> ou (11)3016-5200.
> ________
> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP
> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de
> Carga, Bilhetagem
> Confira em http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org
> Shop Voip, representante exclusivo: www.shopvoip.com.br
> <http://www.shopvoip.com.br> ou 0800-6021244
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco
> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP
> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de
> Carga, Bilhetagem
> Confira em http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org
> Shop Voip, representante exclusivo: www.shopvoip.com.br ou 0800-6021244
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco
> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP emwww.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP
> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga, Bilhetagem
> Confira emhttp://www.yx.cl/landing/brasil/lyric_voip_asterisk.org
> Shop Voip, representante exclusivo:www.shopvoip.com.br ou 0800-6021244
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org
Mais detalhes sobre a lista de discussão AsteriskBrasil