[AsteriskBrasil] Invasão Russa

Rafael Romaniecki rafa.romaniecki em gmail.com
Quinta Maio 8 08:44:53 BRT 2014 

Bom dia prezados,

Venho já a algum tempo acompanhando a lista, mas nunca cheguei a postar algo. 
Trabalho em uma empresa que trabalha com telefonia IP, mas meu trabalho é mais voltado para area de segurança dentro dessa empresa. Para casos como esse encontramos uma solução muito interessante que gostaria de compartilhar com vocês. Trata-se de um script para o Iptables que a partir de ISO-CODES faz o bloqueio de ranges completos de países. Com este script é possível determinar países inteiros a serem bloqueados. Segue script:


 Script para bloqueio de países através de ISO-CODE no IPTABLES.

Onde pegar lista de códigos (ISO=CODES) : www.ipdeny.com


#!/bin/bash

### Block all em paises spammers Use ISO code ###
ISO="ua ru cn in id sg am az by ee ge kz kg lv lt md tj tm uz dz ao bj bw bf bi cm cf ci cd dj eg er et ga gm gh gw ke ls lr ly mg mw ml mr mu ma mz na ne ng rw sn sc sl za sd sz tz tg tn ug zm zw"

### Set PATH ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep

### No editing below ###
SPAMLIST="countrydrop"
ZONEROOT="/root/iptables"
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}

# create a dir
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

# clean old rules
cleanOldRules

# create a new iptables list
$IPT -N $SPAMLIST

for c in $ISO
do
# local zone file
tDB=$ZONEROOT/$c.zone

# get fresh zone file
$WGET -O $tDB $DLROOT/$c.zone

# country specific log message
SPAMDROPMSG="$c Country Drop"

# get
BADIPS=$(egrep -v "^#|^$" $tDB)
for ipblock in $BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
$IPT -A $SPAMLIST -s $ipblock -j DROP
done
done

# Drop everything
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST

# Coloque aqui o apontamento para outro script iptables se for o caso
# /etc/init.d/firewall.sh


exit 0



# ///////////////////////////////// END OF SCRIPT 



Com este script aliado ao Fail2ban conseguimos resolver muitos problemas desagradáveis.

Meus 2 centavos.

Abraço,

Rafael Romaniecki

Em 07/05/2014, à(s) 22:32, Eduardo Boabaid <eduardo.boabaid em gmail.com> escreveu:

> Seria interessante disponibilizar para incluir IPs também.  Assim poderia ser algo colaborativo. 
> 
> Ainda assim seria interessante alguém verificar os Ips sugeridos e adicionados pois sempre há "engraçadinhos" pra zoar essas coisas. 
> 
> 
> Em quarta-feira, 7 de maio de 2014, Fabio H. Marques <fabio em supernovatelecom.com.br> escreveu:
> Tenho uma lista de IPs grande aqui.
> 
>  
> 
> Vou montar um txt e deixar disponível na internet para quem quiser pegar e aplicar.
> 
>  
> 
> Me deem 1 dia para aprontar isso para todos. E depois quem quiser vai passando os IPs que vou adicionando.
> 
>  
> 
>  
> 
>  
> 
> De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Mazzocato .
> Enviada em: quarta-feira, 7 de maio de 2014 20:51
> Para: asteriskbrasil em listas.asteriskbrasil.org
> Assunto: Re: [AsteriskBrasil] Invasão Russa
> 
>  
> 
> 
> O pessoal usa ips do brasil TAMBEM 
> 
> Já tentei fazer isso teve uma hora que era tanta faixa de ip q estava complicado e outra começou a vir ataques de ips do brasil de faixa de ips da OI/Telemar que uso muito etc.. tive que adotar outras medidas pq ficar só bloqueando estava ficando engessado. 
> 
> Ips com tentativas de ataque a porta SIP na ultima meia hora 
> 94.102.49.168
> 125.96.160.190
> Tinha mais 2 da india mas apaquei sem querer .
> 
> Paulo R. Mazzocato
> Acessória em Novas Tecnologias
>  
> 
>  
> 
> Date: Wed, 7 May 2014 19:21:33 -0300
> From: eduardo.boabaid em gmail.com
> To: asteriskbrasil em listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] Invasão Russa
> 
> Idéia boa. 
> 
> Mas não seria vantajoso bloquear ips fora do Brasil como já falaram na lista ?
> 
> Em quarta-feira, 7 de maio de 2014, Fabio H. Marques <fabio em supernovatelecom.com.br> escreveu:
> 
> Pessoal tive uma idéia simples e direta que irei disponibilizar para todos.
> 
>  
> 
> Ao longo dos anos fui juntando IPs e faixas de IP que tentaram invadir os meus sistemas.
> 
> Com isso criei no firewall o bloqueio deles.
> 
>  
> 
> Enviem os IPs que já invadiram que criarei uma lista para vocês carregarem dentro do sistema de vocês, assim criamos uma comunidade de proteção.
> 
>  
> 
> Podem me enviar no email fabio em supernovatelecom.com.br
> 
>  
> 
> Abraço a todos.
> 
>  
> 
> De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de suporte em apexmic.com.br
> Enviada em: quarta-feira, 7 de maio de 2014 17:50
> Para:
> 
> _______________________________________________
> WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu
> conhecimento na tecnologia e portfólio Khomp. Próxima edição
> em PORTO ALEGRE, 8 de maio. Inscrições GRATUITAS. Garanta a
> sua vaga e saiba mais em: www.workoffee.com.br
> _______________________________________________
> ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .
> Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Banco de Canais Analógicos  – Appliance Asterisk
> Acesse www.aligera.com.br
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20140508/f42fa8f0/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil