[AsteriskBrasil] firewall para o asterisk
Judson Carneiro
judson.jcj em gmail.com
Sábado Janeiro 14 00:48:10 BRST 2012
Ei Mauricio.
O SSH, alem de mudar a porta eu tinha configurado para ele nao aceitar
login de root direto. Tem que logar como um usuário qq e usar o "su".
Mas eu queria mais. Nao retotnar a vers do programa qdo o ip fosse
scaneado, por ex. O asterisk tz retornendo, centos retornando, tomcat
retornando...
Em 13/01/2012 20:31, "Mauricio Magalhães" <mauriciommagalhaes em gmail.com>
escreveu:
> Judson,
>
> Eu particularmente as portas tcp, eu instalaria um servidor vpn (openvpn)
> e teria acesso seguro as portas tcp.
>
> Outra dica, mudar a porta padrão do SSH não vai mudar muita coisa,
> qualquer scanner identifica essa porta como sendo do serviço de ssh, mesmo
> desabilitando o banner.
>
> Caso não tenha feito, desative o acesso ao root, no SSH so deixe ele no
> sudo. e acesse o servidor e crie um usuário especifico para administração
> do server.
>
> De uma lida sobre openvpn vc vai ficar muito mais seguro.
>
> Caso não queira openvpn existe um modulo no Iptables chamado RECENT,
> poderia implementar mais segurança a portas TCP que vc quer liberar.
>
> Abraços
>
>
> *Maurício Magalhães.*
>
>
>
> Em 13 de janeiro de 2012 19:02, Judson Carneiro <judson.jcj em gmail.com>escreveu:
>
>> Pessoal, esta é a minha configuração.
>> Aparentemente esta tudo OK.
>>
>> A intenção era bloquear todo tráfego de entrada (exceto o listado
>> abaixo), todo roteamento e liberar todo trafego de saida permitindo que
>> retorne com o "ESTABLISHED".
>>
>> Permiti apenas o seguinte tráfego de entrada.
>> Ping, loopback, porta 5100 para o SSH, porta 80 Apache, porta 20100
>> socket, 10000:20000 RTP Asterisk, 5038 Manager Asterisk, 5060 só IPs da
>> TellFree e 8080 do Tomcat.
>>
>> Alguma sugestão?
>>
>> :INPUT DROP [451:36832]
>> :FORWARD DROP [0:0]
>> :OUTPUT ACCEPT [263:125987]
>> -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
>> -A INPUT -i lo -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> -A INPUT -s 127.0.0.1/32 -j ACCEPT
>> -A INPUT -p udp -m udp --dport 20100 -j ACCEPT
>> -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
>> -A INPUT -s 201.33.209.147/32 -p udp -m udp --dport 5060 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
>> COMMIT
>>
>>
>>
>>
>>
>>
>>
>>
>> Em 11 de janeiro de 2012 00:33, Judson Carneiro <judson.jcj em gmail.com>escreveu:
>>
>> Saudações a todos da lista!
>>>
>>> Estou colocando um servidor Asterisk no ar e preciso cuidar da segurança.
>>> Este servidor precisa possuir (aliás, ja possui) um IP para a Internet.
>>> Alguém poderia me ensinar quais as portas eu tenho que fechar pelo
>>> iptables?
>>>
>>> A intenção é fechar tudo que não for usado.
>>> Praticamente só devem ficar abertas as portas abaixo:
>>>
>>> SSH que vai pra uma outra porta que não a padrão
>>> 5038
>>> 10000 a 20000 para o RTP
>>> 20100 para socket
>>> 5060 para o tronco SIP da Tellfree
>>>
>>> Tem mais alguma porta que o Asterisk precisa usar? Ah!!! Tenho que usar
>>> o MySQL também neste servidor. Porta 3308.
>>>
>>> A principio desejo impedir que sipfones/softfones se registrem tanto de
>>> dentro da rede quanto de fora. Nem haverá extensões de ramais no plano de
>>> discagem, só uma ura. Ou seja, uma vez que o Asterisk se logue na tellfree
>>> ele passa a receber ligações e jogar pra ura, mais nada.
>>>
>>> Muito grato!
>>>
>>
>>
>> _______________________________________________
>> KHOMP ::: External Series Experience :::
>> Um novo conceito para o mercado de aplicações que vai
>> fazer você pensar fora da caixa. Aguarde este lançamento
>> _______________________________________________
>> DIGIVOICE: Lider no mercado de placas para Asterisk
>> Único fabricante com Centro de Treinamento especializado.
>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
>> www.digivoice.com.br ou (11)3016-5200.
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP ::: External Series Experience :::
> Um novo conceito para o mercado de aplicações que vai
> fazer você pensar fora da caixa. Aguarde este lançamento
> _______________________________________________
> DIGIVOICE: Lider no mercado de placas para Asterisk
> Único fabricante com Centro de Treinamento especializado.
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.
> www.digivoice.com.br ou (11)3016-5200.
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20120114/cd03299b/attachment.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil