[AsteriskBrasil] RES: RES: Iptables

Mike mikeedede em hotmail.com
Sexta Julho 26 09:30:17 BRT 2013


Pessoal, agradeço muito a todos pelas dicas.

 

Bruno estou lendo já os links que me passou.

 

Fiz várias tentativas já inclusive esta que você me passou, mas ao carregar
o serviço ele me dá um erro.  Mesmo eu deixando a regra -A INPUT -s
192.168.25.34 -j ACCEPT apos reiniciar o serviço, ele me bloqueia sempre.
Não libera meu acesso.

 

[root em ibridge ~]# service iptables restart

iptables: Liberando regras do firewall:                    [  OK  ]

iptables: Configurando chains para a política ACCEPT: filt[  OK  ]

iptables: Descarregando módulos:                          [  OK  ]

iptables: Aplicando regras do firewall:Bad argument `iptables'

Error occurred at line: 18

Try `iptables-restore -h' or 'iptables-restore --help' for more information.

                                                           [FALHOU]

Estou com a regra abaixo.

 

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

 

-P INPUT DROP

-P OUTPUT DROP

-P FORWARD DROP

 

iptables -A INPUT -s 192.168.25.34 -j ACCEPT ;;meu ip local

-A INPUT -s 192.168.25.34 -j ACCEPT

-A INPUT -s 192.168.25.82 -j ACCEPT

 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 88 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5038 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

 

Muito Obrigado!

 

 

Att: Mike

 

 

 

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Bruno
Gerotto
Enviada em: sexta-feira, 26 de julho de 2013 08:34
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] RES: Iptables

 

Bom dia Mike, tudo em ordem.

 

Seguinte, também não tenho mtooooo conhecimento em iptables e fail2ban, mas
acredito que consigo te dar uma força com minhas próprias palavras..

 

Quando você usa a opção -P no comando iptables (iptables -P INPUT DROP),
você está querendo dizer que a politica padrão do firewall para as conexões
de entrada é drop, ou seja, todas as conexões de entrada a esse servidor
serão barradas.

 

Como você usou DROP para INPUT, FORWARD E OUTPUT, você isolou o servidor de
toda a rede.

 

Porém existem as regras com -A (iptables -A INPUT -s 111.1111.111.111 -j
ACCEPT), ou seja, você pode dizer que suas regras de entrada padrão serão
drop, mas quando chegar uma conexão de determinado ip você vai aceitar..

 

Partindo desses principios da pra você bloquear tudo e liberar somente o
necessário... oque eu sempre costumo fazer.

 

Quanto ao Fail2ban, oque ele faz é analisar os arquivos de log de uma
aplicação e bloquear a origem dos acessos caso haja uma determinada quantia
de erros. Ele faz isso criando regras no iptables.

 

Segue alguns links que já me ajudaram muito.

 

Fail2ban com asterisk

http://asterisk.zip.net/asterisk/ (Da um ctrl + f e procura por fail2ban pq
ta bem no meio da pagina e ela é um pouco extensa).

http://www.vivaolinux.com.br/dica/Evitando-bruteforce-de-SSH-utilizando-o-Fa
il2ban

http://www.vivaolinux.com.br/artigo/Bloqueio-de-repetidas-tentativas-de-logi
n-ao-seu-Linux?pagina=5

http://www.servidordebian.org/pt/wheezy/security/brute_force_attack/fail2ban

http://www.fail2ban.org/wiki/index.php/Asterisk

 

 

Firewall Iptables com Asterisk

http://wiki.ubuntu-br.org/Iptables

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-pt_br-4/s1-firewall-ipt-fwd.ht
ml

 

Espero ter ajudado.

 

 




ATT.

Bruno Gerotto

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130726/271bc357/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil