[AsteriskBrasil] Iptables

Joca joca_junior em terra.com.br
Sexta Julho 26 16:08:49 BRT 2013 

O erro esta muito simples, quando vc usa a politica DROP no INPUT e 
OUTPUT vc tem que lembrar que quando um pacote entra na maquina ele tem 
que voltar para que solicitou portanto vc teria que liberar o OUTPUT 
para o mesmo destino que entrou.

Vamos por a mao na massa
Como sua politica é DROP vc so tem que liberar o que quer.


Vamos criar um script chamado firewall.sh com o seguinte script
faz de conta que os ips da filial sao 200.200.200.200 e 201.201.201.201
e o ip da propria maquina é 100.100.100.100

"
ATENCAO - Agente usa INPUT e OUTPUT quando a regra e destinada para a 
propria maquina
que nesse caso ela é o VOIP e firewall ao mesmo tempo
CASO - sua maquina esteja atraz de um firewall acessado via NAT vc usará 
FORWARD nas regras do firewall que esta fazendo a NAT
"


#!/bin/bash

#Variaveis

IP_MAQUINA="100.100.100.100"
IP_FILIAL1="200.200.200.200"
IP_FILIAL2="201.201.201.201"

#Politica DROPA TUDO

/iptables -P INPUT DROP/

/iptables -P OUTPUT DROP/

/iptables -P FORWARD DROP/


#Limpa as regras
iptables -F
iptables -X


#Liberar loopback
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT


#Liberar acesso total as filiais
for IP IN ${IP_FILIAL1} ${IP_FILIAL2}
do
     iptables -A INPUT -s $IP -d $IP_MAQUINA -j ACCEPT
     iptables -A OUTPUT -s $IP_MAQUINA -d $IP -j ACCEPT
done


#Liberar a propria maquina navegar na web
iptables -A INPUT -d $IP_MAQUINA -p tcp -m multiport --sport 80,443 -j 
ACCEPT
iptables -A OUTPUT -s $IP_MAQUINA -p tcp -m multiport --dport 80,443 -j 
ACCEPT
iptables -A INPUT -d $IP_MAQUINA -p udp -m multiport --sport 53 -j ACCEPT
iptables -A OUTPUT -s $IP_MAQUINA -p udp -m multiport --dport 53 -j ACCEPT



[]s
Jocajuni

















On 07/25/2013 05:29 PM, Mike wrote:
>
> *Senhores!*
>
> Andei pesquisando no google e nos sites em que abriu.
>
> Não tive muito sucesso na instalação do fail2ban ainda mas sofro com 
> várias tentativas de invasão.
>
> Tenho uma central pabx com centos instalada nela e 2 filiais 
> conectadas nela. Gostaria da ajuda para saber
>
> Como faço para bloquear no iptables todos e quaisquer outro acesso, 
> liberando apenas os ips que tenho nas filiais.
>
> Não tenho muitas habilidades, mas tentei bloquear tudo com o comando
>
> /iptables -P INPUT DROP/
>
> /iptables -P OUTPUT DROP/
>
> /iptables -P FORWARD DROP/
>
> Mas não consegui acesso mais das filiais na central.
>
> Estou usando a seguinte regra no momento...
>
> # Firewall configuration written by system-config-firewall
>
> # Manual customization of this file is not recommended.
>
> *filter
>
> :INPUT ACCEPT [0:0]
>
> :FORWARD ACCEPT [0:0]
>
> :OUTPUT ACCEPT [0:0]
>
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> -A INPUT -p icmp -j ACCEPT
>
> -A INPUT -i lo -j ACCEPT
>
> -A INPUT -s 222.111.232.242 -j DROP
>
> -A INPUT -s 222.39.89.179 -j DROP
>
> -A INPUT -s 173.242.117.162 -j DROP
>
> -A INPUT -s 184.154.106.2 -j DROP
>
> -A INPUT -s 216.244.89.19 -j DROP
>
> -A INPUT -s 196.14.16.190 -j DROP
>
> -A INPUT -s 91.218.229.42 -j DROP
>
> -A INPUT -s 85.25.100.41 -j DROP
>
> -A INPUT -s 211.144.65.17 -j DROP
>
> -A INPUT -s 198.143.187.146 -j DROP
>
> -A INPUT -s 5.9.193.195 -j DROP
>
> -A INPUT -s 5.9.199.173 -j DROP
>
> -A INPUT -s 5.9.193.197 -j DROP
>
> -A INPUT -s 91.229.220.20 -j DROP
>
> -A INPUT -s 198.143.175.2 -j DROP
>
> -A INPUT -s 211.144.65.17 -j DROP
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 25322 -j ACCEPT
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 25380 -j ACCEPT
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
>
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 5038:5039 -j ACCEPT
>
> -A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT
>
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
>
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
>
> COMMIT
>
> Agradeço se alguém puder ajudar.
>
> Grato.
>
> Mike.
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

Mais detalhes sobre a lista de discussão AsteriskBrasil