[AsteriskBrasil] Iptables
Rafael dos Santos Saraiva
rafaelsnsa em gmail.com
Sexta Julho 26 08:40:34 BRT 2013
Mike
Eu utilizo este script, não uso ele pro Asterisk, você só tem que incluir
as portas do Asterisk logo depois do "iptables -P OUTPUT DROP". É só
incluir quantas linhas precisar com o ip de origem e a porta(iptables -A
INPUT -p tcp -s 192.168.1.2 --dport 8080 -j ACCEPT):
#!/bin/bash
## FIREWALL ##
#IPS=`cat /opt/firewall/ips.txt`
### Bloquear ataque DDos
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
### Habilita o reencaminhamento de pacotes TCP/UDP
#echo 1 > /proc/sys/net/ipv4/ip_forward
### Limpar tabelas iptables
iptables -F
iptables -X
##
iptables -P INPUT DROP
iptables -P OUTPUT DROP
### Aceita conexoes SSH na porta 22
iptables -A INPUT -p tcp -s 192.168.1.1 --dport 22 -j ACCEPT
### Aceita requisicoes HTTP na porta 8080
iptables -A INPUT -p tcp -s 192.168.1.2 --dport 8080 -j ACCEPT
### Aceita requisicoes em loopback
iptables -A INPUT -i lo -j ACCEPT
### Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
1/s -j ACCEPT
### Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
### Aceita passagem de pacotes de conexoes ja estabelecidas ou secundarias
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
###OUTPUT
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
###FIM
Att,
*Rafael dos Santos Saraiva*
Tel: (51) 8174-7956
*Digium Certified Asterisk Administrator (dCCA)*
http://www.astdocs.com | <http://br.linkedin.com/pub/rafael-saraiva/52/aab/230>
Em 25 de julho de 2013 17:29, Mike <mikeedede em hotmail.com> escreveu:
> ** **
>
> *Senhores!*
>
> ** **
>
> Andei pesquisando no google e nos sites em que abriu.****
>
> Não tive muito sucesso na instalação do fail2ban ainda mas sofro com
> várias tentativas de invasão.****
>
> Tenho uma central pabx com centos instalada nela e 2 filiais conectadas
> nela. Gostaria da ajuda para saber****
>
> Como faço para bloquear no iptables todos e quaisquer outro acesso,
> liberando apenas os ips que tenho nas filiais.****
>
> Não tenho muitas habilidades, mas tentei bloquear tudo com o comando****
>
> *iptables -P INPUT DROP*
>
> *iptables -P OUTPUT DROP*
>
> *iptables -P FORWARD DROP*****
>
> ** **
>
> Mas não consegui acesso mais das filiais na central.****
>
> ** **
>
> Estou usando a seguinte regra no momento...****
>
> ** **
>
> # Firewall configuration written by system-config-firewall****
>
> # Manual customization of this file is not recommended.****
>
> *filter****
>
> :INPUT ACCEPT [0:0]****
>
> :FORWARD ACCEPT [0:0]****
>
> :OUTPUT ACCEPT [0:0]****
>
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT****
>
> -A INPUT -p icmp -j ACCEPT****
>
> -A INPUT -i lo -j ACCEPT****
>
> ** **
>
> -A INPUT -s 222.111.232.242 -j DROP****
>
> -A INPUT -s 222.39.89.179 -j DROP****
>
> -A INPUT -s 173.242.117.162 -j DROP****
>
> -A INPUT -s 184.154.106.2 -j DROP****
>
> -A INPUT -s 216.244.89.19 -j DROP****
>
> -A INPUT -s 196.14.16.190 -j DROP****
>
> -A INPUT -s 91.218.229.42 -j DROP****
>
> -A INPUT -s 85.25.100.41 -j DROP****
>
> -A INPUT -s 211.144.65.17 -j DROP****
>
> -A INPUT -s 198.143.187.146 -j DROP ****
>
> -A INPUT -s 5.9.193.195 -j DROP****
>
> -A INPUT -s 5.9.199.173 -j DROP****
>
> -A INPUT -s 5.9.193.197 -j DROP****
>
> -A INPUT -s 91.229.220.20 -j DROP****
>
> -A INPUT -s 198.143.175.2 -j DROP****
>
> -A INPUT -s 211.144.65.17 -j DROP****
>
> ** **
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 25322 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 25380 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT****
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 5038:5039 -j ACCEPT***
> *
>
> -A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT****
>
> ** **
>
> -A INPUT -j REJECT --reject-with icmp-host-prohibited****
>
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited****
>
> COMMIT****
>
> ** **
>
> Agradeço se alguém puder ajudar.****
>
> ** **
>
> Grato.****
>
> ** **
>
> Mike.****
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130726/f7338371/attachment.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil