[AsteriskBrasil] firewall para o asterisk

[Mauricio Magalhães]

Judson,

Eu particularmente as portas tcp, eu instalaria um servidor vpn (openvpn) e
teria acesso seguro as portas tcp.

Outra dica, mudar a porta padrão do SSH não vai mudar muita coisa, qualquer
scanner identifica essa porta como sendo do serviço de ssh, mesmo
desabilitando o banner.

Caso não tenha feito, desative o acesso ao root, no SSH so deixe ele no
sudo. e acesse o servidor e crie um usuário especifico para administração
do server.

De uma lida sobre openvpn vc vai ficar muito mais seguro.

Caso não queira openvpn existe um modulo no Iptables chamado RECENT,
poderia implementar mais segurança a portas TCP que vc quer liberar.

Abraços


*Maurício  Magalhães.*



Em 13 de janeiro de 2012 19:02, Judson Carneiro <judson.jcj em gmail.com>escreveu:

> Pessoal, esta é a minha configuração.
> Aparentemente esta tudo OK.
>
> A intenção era bloquear todo tráfego de entrada (exceto o listado abaixo),
> todo roteamento e liberar todo trafego de saida permitindo que retorne com
> o "ESTABLISHED".
>
> Permiti apenas o seguinte tráfego de entrada.
> Ping, loopback, porta 5100 para o SSH, porta 80 Apache, porta 20100
> socket, 10000:20000 RTP Asterisk, 5038 Manager Asterisk, 5060 só IPs da
> TellFree e 8080 do Tomcat.
>
> Alguma sugestão?
>
> :INPUT DROP [451:36832]
> :FORWARD DROP [0:0]
> :OUTPUT ACCEPT [263:125987]
> -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 5100 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -s 127.0.0.1/32 -j ACCEPT
> -A INPUT -p udp -m udp --dport 20100 -j ACCEPT
> -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
> -A INPUT -s 201.33.209.147/32 -p udp -m udp --dport 5060 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
> COMMIT
>
>
>
>
>
>
>
>
> Em 11 de janeiro de 2012 00:33, Judson Carneiro <judson.jcj em gmail.com>escreveu:
>
> Saudações a todos da lista!
>>
>> Estou colocando um servidor Asterisk no ar e preciso cuidar da segurança.
>> Este servidor precisa possuir (aliás, ja possui) um IP para a Internet.
>> Alguém poderia me ensinar quais as portas eu tenho que fechar pelo
>> iptables?
>>
>> A intenção é fechar tudo que não for usado.
>> Praticamente só devem ficar abertas as portas abaixo:
>>
>> SSH que vai pra uma outra porta que não a padrão
>> 5038
>> 10000 a 20000 para o RTP
>> 20100 para socket
>> 5060 para o tronco SIP da Tellfree
>>
>> Tem mais alguma porta que o Asterisk precisa usar? Ah!!! Tenho que usar o
>> MySQL também neste servidor. Porta 3308.
>>
>> A principio desejo impedir que sipfones/softfones se registrem tanto de
>> dentro da rede quanto de fora. Nem haverá extensões de ramais no plano de
>> discagem, só uma ura. Ou seja, uma vez que o Asterisk se logue na tellfree
>> ele passa a receber ligações e jogar pra ura, mais nada.
>>
>> Muito grato!
>>
>
>
> _______________________________________________
> KHOMP ::: External Series Experience :::
> Um novo conceito para o mercado de aplicações que vai
> fazer você pensar fora da caixa. Aguarde este lançamento
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120113/44103b23/attachment.htm