[AsteriskBrasil] RES: Iptables

Mike mikeedede em hotmail.com
Segunda Julho 29 13:35:21 BRT 2013 

Amigos!

 

 

Obrigado por suas orientações!

 

Li todas as dicas e ainda os links que me passaram e ainda continuo a ler,
mas em conversa com o meu amigo Fabio Fraga da Dataspace, a regra ficou
desta forma e tive total sucesso nos testes até o momento.

Ainda continuo testando no laboratório para quando validado 100% testar no
cliente.

 

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -s 64.0.0.0/8 -j DROP

-A INPUT -i eth0 -s xxx.xxx.xx.xx -m state --state NEW -m tcp -p tcp --dport
22 -j ACCEPT

-A INPUT -i eth0 -s xxx.xxx.xx.xx -m state --state NEW -m udp -p udp --dport
1:65535 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

#-A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5038 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

 

 

Att: Mike

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
Guilherme Rezende
Enviada em: segunda-feira, 29 de julho de 2013 10:47
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] RES: RES: Iptables

 

Mike, lembrando que sua chain padrão não deve ser alterada.  Ou seja, a
CHAIN INPUT, OUTPUT necessariamente precisam estar como ACCEPT.

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

Veja como ficou a saída do iptables -L conforme script abaixo

[root em pbx-grupocred /]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  172.16.5.0/24        anywhere
ACCEPT     udp  --  186.0.0.0/8          anywhere
ACCEPT     udp  --  187.0.0.0/8          anywhere
ACCEPT     udp  --  177.0.0.0/8          anywhere
ACCEPT     udp  --  179.0.0.0/8          anywhere
ACCEPT     udp  --  189.0.0.0/8          anywhere
ACCEPT     udp  --  198.50.96.130        anywhere
ACCEPT     udp  --  200.0.0.0/8          anywhere
ACCEPT     udp  --  201.0.0.0/8          anywhere
DROP       udp  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination



Em 29/07/2013 10:29, Guilherme Rezende escreveu: 

Mike, lembrando que se tratando de SIP, que usa o protocolo UDP, vc pode
fazer conforme abaixo:
Esse exemplo abaixo possuo em um cliente onde bloqueio qualquer tentativa de
se logar na central via SIP c/ alguma classe diferente das que estão
listadas(que são classes BR)
Apenas isso vai resolver seu problema!

#!/bin/bash
ipt=/sbin/iptables
$ipt -F
$ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -p udp -j DROP


Em 26/07/2013 09:30, Mike escreveu: 

Pessoal, agradeço muito a todos pelas dicas.

 

Bruno estou lendo já os links que me passou.

 

Fiz várias tentativas já inclusive esta que você me passou, mas ao carregar
o serviço ele me dá um erro.  Mesmo eu deixando a regra -A INPUT -s
192.168.25.34 -j ACCEPT apos reiniciar o serviço, ele me bloqueia sempre.
Não libera meu acesso.

 

[root em ibridge ~]# service iptables restart

iptables: Liberando regras do firewall:                    [  OK  ]

iptables: Configurando chains para a política ACCEPT: filt[  OK  ]

iptables: Descarregando módulos:                          [  OK  ]

iptables: Aplicando regras do firewall:Bad argument `iptables'

Error occurred at line: 18

Try `iptables-restore -h' or 'iptables-restore --help' for more information.

                                                           [FALHOU]

Estou com a regra abaixo.

 

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

 

-P INPUT DROP

-P OUTPUT DROP

-P FORWARD DROP

 

iptables -A INPUT -s 192.168.25.34 -j ACCEPT ;;meu ip local

-A INPUT -s 192.168.25.34 -j ACCEPT

-A INPUT -s 192.168.25.82 -j ACCEPT

 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 88 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5038 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

 

Muito Obrigado!

 

 

Att: Mike

 

 

 

 

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
<mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org>
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Bruno
Gerotto
Enviada em: sexta-feira, 26 de julho de 2013 08:34
Para: asteriskbrasil em listas.asteriskbrasil.org
<mailto:asteriskbrasil em listas.asteriskbrasil.org> 
Assunto: Re: [AsteriskBrasil] RES: Iptables

 

Bom dia Mike, tudo em ordem.

 

Seguinte, também não tenho mtooooo conhecimento em iptables e fail2ban, mas
acredito que consigo te dar uma força com minhas próprias palavras..

 

Quando você usa a opção -P no comando iptables (iptables -P INPUT DROP),
você está querendo dizer que a politica padrão do firewall para as conexões
de entrada é drop, ou seja, todas as conexões de entrada a esse servidor
serão barradas.

 

Como você usou DROP para INPUT, FORWARD E OUTPUT, você isolou o servidor de
toda a rede.

 

Porém existem as regras com -A (iptables -A INPUT -s 111.1111.111.111 -j
ACCEPT), ou seja, você pode dizer que suas regras de entrada padrão serão
drop, mas quando chegar uma conexão de determinado ip você vai aceitar..

 

Partindo desses principios da pra você bloquear tudo e liberar somente o
necessário... oque eu sempre costumo fazer.

 

Quanto ao Fail2ban, oque ele faz é analisar os arquivos de log de uma
aplicação e bloquear a origem dos acessos caso haja uma determinada quantia
de erros. Ele faz isso criando regras no iptables.

 

Segue alguns links que já me ajudaram muito.

 

Fail2ban com asterisk

http://asterisk.zip.net/asterisk/ (Da um ctrl + f e procura por fail2ban pq
ta bem no meio da pagina e ela é um pouco extensa).

http://www.vivaolinux.com.br/dica/Evitando-bruteforce-de-SSH-utilizando-o-Fa
il2ban

http://www.vivaolinux.com.br/artigo/Bloqueio-de-repetidas-tentativas-de-logi
n-ao-seu-Linux?pagina=5

http://www.servidordebian.org/pt/wheezy/security/brute_force_attack/fail2ban

http://www.fail2ban.org/wiki/index.php/Asterisk

 

 

Firewall Iptables com Asterisk

http://wiki.ubuntu-br.org/Iptables

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-pt_br-4/s1-firewall-ipt-fwd.ht
ml

 

Espero ter ajudado.

 

 




ATT.

Bruno Gerotto






_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com
<http://www.Khomp.com> .
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
<http://www.aligera.com.br> .
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org> 







_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com
<http://www.Khomp.com> .
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
<http://www.aligera.com.br> .
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org> 

 

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130729/75fccdd1/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil