[AsteriskBrasil] Bloqueio de ips fora do Brasil por conta de ataques
joao em oxman.com.br
joao em oxman.com.br
Sábado Novembro 5 08:44:31 BRST 2011
Desculpa corrigindo uma regra de output
crie uma variavel de portas
PA="1:30000" ;Portas abertas
ET0="192.168.0.11"; IP SEU INTERNO
Bloqueia Tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
libera somente o ip desejado
iptables -A INPUT -p tcp -s 189.99.99.233 --sport $PA -d $ET0 --dport $PA
iptables -A INPUT -p udp -s 189.99.99.233 --sport $PA -d $ET0 --dport $PA
iptables -A OUTPUT -p tcp -s $ET0 --sport $PA -d 189.99.99.223 --dport $PA
iptables -A OUTPUT -p tcp -s $ET0 --sport $PA -d 189.99.99.223 --dport $PA
PARA NÃO FECHA SEU ACESSO SSH E O WEB LIBERA SEU IP TAMBÉM, OUTRA COISA QUAL DISTRIBUIÇÃO VC USA, OS ATAQUES WEB SÃO MUITAS VEZES DIRETA NA INTERFACE WEB, VE DENTRO DO DIRETORIO WEB ADMIN SE TEM UM ARQUIVO ESTRANHO LÁ
ABRAÇOS
----------------------------------------
De: "joao em oxman.com.br" <joao em oxman.com.br>
Enviado: sábado, 5 de novembro de 2011 00:31
Para: asteriskbrasil em listas.asteriskbrasil.org, asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] Bloqueio de ips fora do Brasil por conta de ataques
Ola amigo!
Desculpe, mais tive esse problema e a melhor solução e você bloquear tudo e só liberar os IPs que deseja.
crie uma variavel de portas
PA="1:30000" ;Portas abertas
ET0="192.168.0.11"; IP SEU INTERNO
Bloqueia Tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
libera somente o ip desejado
iptables -A INPUT -p tcp -s 189.99.99.233 --sport $PA -d $ET0 --dport $PA
iptables -A INPUT -p udp -s 189.99.99.233 --sport $PA -d $ET0 --dport $PA
iptables -A OUTPUT -p tcp -s 189.99.99.233 --sport $PA -d $ET0 --dport $PA
iptables -A OUTPUT -p tcp -s 189.99.99.233 --sport $PA -d $ET0 --dport $PA
GARANTO PRA VOCÊ E QUALQUER UM QUE ISSSO FUNCIONA
----------------------------------------
De: "Fernando Beraldo" <fernando.beraldo em gmail.com>
Enviado: sexta-feira, 4 de novembro de 2011 18:57
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] Bloqueio de ips fora do Brasil por conta de ataques
Cara... Isso do jeito que você quer fazer não irá funcionar, pois os
IP 187, 189, 200 e 201, possui "n" classes de rede.
Se um IP for /28, /29 ou /30 sua regra furou. Outra coisa são os
Octetos de cada classe, em um /24 existem 255 IPs, logo pela suas
regras você estaria bloqueando a range 187.0.0.0 até 187.0.0.255, mas
a 187.0.1.0 até 187.0.1.255 estaria liberada.
Outra coisa, não gosto muito de usar o DROP logo no início(questão de
gosto vai de cada um). As vezes dependendo da quantidade de fluxo
tente a consumir recurso da máquina.
Se realmente tiver que deixar essa range de IP liberados, tente
configurar o Fail2Ban com esses howto (não sei já viu).
http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk
ou http://wnunes.com/2010/06/24/asterisk-com-fail2ban/
Já vi gente aqui da lista falando sobre o OSSEC, pelo que andei lendo
parece uma solução bem legal, se puder, testa ela também.
[]'s
Beraldo
Em 4 de novembro de 2011 18:25, Ricardo Landim <pangole em bol.com.br> escreveu:
> Eu uso o ACL do proprio asterisk....
>
> Dá uma estudada nas variaveis permit e deny!
>
> Em 4 de novembro de 2011 17:52, Felippe <alcaponefelippe em bol.com.br>
> escreveu:
>>
>> Ola.
>>
>> Vi falando do fail2ban mas não consegui fazer funcionar 100% ainda.
>> Alguem sabe me dizer o comando do iptables que bloqueia todos os ips e
>> deixa somente liberado o ip com inicio 187,189,200 e 201?
>>
>> Tentei
>> iptables -I INPUT -s 0.0.0.0/24 -j DROP
>> iptables -I INPUT -s 187.0.0.0/24 -j ACCEPT
>> iptables -I INPUT -s 189.0.0.0/24 -j ACCEPT
>> iptables -I INPUT -s 200.0.0.0/24 -j ACCEPT
>> iptables -I INPUT -s 201.0.0.0/24 -j ACCEPT
>>
>> Mas nao deu. Mesmo assim os ataques continuam..
>> A exemplo de um ataque agora com o ip 221.176.3.163 fiz a regra: iptables
>> -I INPUT -s 221.0.0.0/24 -j DROP mas tb nao adiantou.
>> Bom eu sei que o que falta é experiencia com iptables da minha parte.
>> rsrs. Mas no sufoco se alguem puder enviar alguma coisa será bem vinda.
>>
>> Obg
>> Felippe
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> DIGIVOICE: Lider no mercado de placas para Asterisk
>> Único fabricante com Centro de Treinamento especializado.
>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> www.digivoice.com.br ou (11)3016-5200.
>> ________
>> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP
>> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga,
>> Bilhetagem
>> Confira em http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org
>> Shop Voip, representante exclusivo: www.shopvoip.com.br ou 0800-6021244
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP
> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga,
> Bilhetagem
> Confira em http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org
> Shop Voip, representante exclusivo: www.shopvoip.com.br ou 0800-6021244
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
DIGIVOICE: Lider no mercado de placas para Asterisk
Único fabricante com Centro de Treinamento especializado.
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
www.digivoice.com.br ou (11)3016-5200.
________
GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP
Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga, Bilhetagem
Confira em http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org
Shop Voip, representante exclusivo: www.shopvoip.com.br ou 0800-6021244
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20111105/9ed01470/attachment-0001.html
Mais detalhes sobre a lista de discussão AsteriskBrasil