[AsteriskBrasil] RES: Iptables

Sexta Julho 26 08:22:07 BRT 2013

Olá Mike;

Eu não uso o CSP para esta finalidade mas segue um pequeno exemplo de outra
aplicação que utilizo com este serviço.

############################################

#Bloqueando tudo
iptables -P INPUT DROP

#Liberando acesso SSH
iptables -A INPUT -p tcp --dport 55222 -j ACCEPT

#Liberando LocalHost
iptables -A INPUT -i lo -j ACCEPT

#liberando acesso Aplicação
iptables -A INPUT -p tcp --dport 6842 -j ACCEPT

#liberando pacote de retorno
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

###########################################################

Este último é bem interessante, pois ele libera um porta de entrada baseado
na saída.

Esta regra pode ser utilizada, por exemplo, no caso de uma interligação
entre dois sistemas asterisk. Ele apenas liberará a entrada em uma porta
para o mesmo ip que ele está enviando uma requisição.

Eu uso estas configurações em um sistema com apenas uma placa também.

Atenciosamente;

*Jorge Silveira*
*dCAA - Digium Certified Asterisk Administrator*
<http://br.linkedin.com/in/josilveira>

Em 25 de julho de 2013 17:56, Mike <mikeedede em hotmail.com> escreveu:

> Boa tarde!****
>
> ** **
>
> Tenho apenas 1 interface.****
>
> ** **
>
> Mike.****
>
> ** **
>
> *De:* asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:
> asteriskbrasil-bounces em listas.asteriskbrasil.org] *Em nome de *Alejandro
> Flores
> *Enviada em:* quinta-feira, 25 de julho de 2013 17:40
> *Para:* asteriskbrasil
> *Assunto:* Re: [AsteriskBrasil] Iptables****
>
> ** **
>
> Mike,****
>
> ** **
>
> Você posssui 1 ou 2 interfaces de rede no asterisk? ****
>
> ** **
>
> Abraço!****
>
> ** **
>
> 2013/7/25 Mike <mikeedede em hotmail.com>****
>
>  ****
>
> *Senhores!*****
>
>  ****
>
> Andei pesquisando no google e nos sites em que abriu.****
>
> Não tive muito sucesso na instalação do fail2ban ainda mas sofro com
> várias tentativas de invasão.****
>
> Tenho uma central pabx com centos instalada nela e 2 filiais conectadas
> nela. Gostaria da ajuda para saber****
>
> Como faço para bloquear no iptables todos e quaisquer outro acesso,
> liberando apenas os ips que tenho nas filiais.****
>
> Não tenho muitas habilidades, mas tentei bloquear tudo com o comando****
>
> *iptables -P INPUT DROP*****
>
> *iptables -P OUTPUT DROP*****
>
> *iptables -P FORWARD DROP*****
>
>  ****
>
> Mas não consegui acesso mais das filiais na central.****
>
>  ****
>
> Estou usando a seguinte regra no momento...****
>
>  ****
>
> # Firewall configuration written by system-config-firewall****
>
> # Manual customization of this file is not recommended.****
>
> *filter****
>
> :INPUT ACCEPT [0:0]****
>
> :FORWARD ACCEPT [0:0]****
>
> :OUTPUT ACCEPT [0:0]****
>
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT****
>
> -A INPUT -p icmp -j ACCEPT****
>
> -A INPUT -i lo -j ACCEPT****
>
>  ****
>
> -A INPUT -s 222.111.232.242 -j DROP****
>
> -A INPUT -s 222.39.89.179 -j DROP****
>
> -A INPUT -s 173.242.117.162 -j DROP****
>
> -A INPUT -s 184.154.106.2 -j DROP****
>
> -A INPUT -s 216.244.89.19 -j DROP****
>
> -A INPUT -s 196.14.16.190 -j DROP****
>
> -A INPUT -s 91.218.229.42 -j DROP****
>
> -A INPUT -s 85.25.100.41 -j DROP****
>
> -A INPUT -s 211.144.65.17 -j DROP****
>
> -A INPUT -s 198.143.187.146 -j DROP              ****
>
> -A INPUT -s 5.9.193.195 -j DROP****
>
> -A INPUT -s 5.9.199.173 -j DROP****
>
> -A INPUT -s 5.9.193.197 -j DROP****
>
> -A INPUT -s 91.229.220.20 -j DROP****
>
> -A INPUT -s 198.143.175.2 -j DROP****
>
> -A INPUT -s 211.144.65.17 -j DROP****
>
>  ****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 25322 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 25380 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 5038:5039 -j ACCEPT***
> *
>
> -A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT****
>
>  ****
>
> -A INPUT -j REJECT --reject-with icmp-host-prohibited****
>
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited****
>
> COMMIT****
>
>  ****
>
> Agradeço se alguém puder ajudar.****
>
>  ****
>
> Grato.****
>
>  ****
>
> Mike.****
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org****
>
>
>
> ****
>
> ** **
>
> --
>
> Alejandro Flores
> Office: 81 3031-4595
> Mobile: 81 8210-0412
> http://www.triforsec.com.br/
> http://www.dialtelecom.com.br/ ****
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130726/03aae472/attachment.htm 