troca a porta do registro e resolve o caso.<div><br></div><div><br clear="all">Marcus A. Queiroz<br><br>
<br><br><div class="gmail_quote">Em 13 de dezembro de 2010 08:22, Roberto Fonseca <span dir="ltr"><<a href="mailto:robertodafonseca@terra.com.br">robertodafonseca@terra.com.br</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div bgcolor="white" lang="PT-BR" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Dica facil e rapida, não requer prática, tampouco habilidade:</span></p><p class="MsoNormal">
<span style="font-size:11.0pt;color:#1F497D">Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060....</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal">
<span style="font-size:11.0pt;color:#1F497D">99% dos ataques só se dirigem a 5060....é muito cara, dispendioso de recursos ficar fazendo portscan...</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Roberto Fonseca</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:10.0pt;color:windowtext">De:</span></b><span style="font-size:10.0pt;color:windowtext"> <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a> [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] <b>Em nome de </b>Eduardo Pereira<br>
<b>Enviada em:</b> sábado, 11 de dezembro de 2010 12:44</span></p><div class="im"><br><b>Para:</b> <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
</div><b>Assunto:</b> Re: [AsteriskBrasil] RES: Ataque<p></p></div></div><div><div></div><div class="h5"><p class="MsoNormal"> </p><p class="MsoNormal"><span style="font-size:7.5pt">Wagner<br><br>o resultado das regras:<br>
<br>-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set<br>-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP<br>
-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set<br>-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP<br>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT<br>
<br> 0 0 udp -- eth0 * <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> udp dpt:5060 state NEW recent: SET name: DEFAULT side: source <br>
0 0 DROP udp -- eth0 * <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source <br>
0 0 tcp -- eth0 * <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source <br>
0 0 DROP tcp -- eth0 * <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source <br>
0 0 ACCEPT udp -- * * <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> state NEW udp dpt:5060 </span><br><br>Observe que a ultima llinha libera a 5060, devo remover?<br>
<br>Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: </p><pre>Eduardo,</pre><pre> </pre><pre>Parece que esse arquivo está correto para o UDP. Para TCP está faltando</pre><pre>algo.</pre><pre> </pre><pre>Testei os dois comandos abaixo na minha própria máquina para o serviço</pre>
<pre>de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo.</pre><pre> </pre><pre>Se você pedir para o iptables listar as regras com um verbose ("iptables</pre><pre>-t filter -nvL") vc consegue ver se houve algum drop na regra e</pre>
<pre>consequentemente se ela está funcionando.</pre><pre> </pre><pre>Utilizei:</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent</pre>
<pre>--update --seconds 60 --hitcount 1 -j DROP</pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre>Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu:</pre><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>Wagner</pre><pre> </pre><pre>utilizando o arquivo do proprio centos seria assim?</pre><pre> </pre><pre># Firewall configuration written by system-config-securitylevel</pre><pre># Manual customization of this file is not recommended.</pre>
<pre>*filter</pre><pre>:INPUT ACCEPT [0:0]</pre><pre>:FORWARD ACCEPT [0:0]</pre><pre>:OUTPUT ACCEPT [0:0]</pre><pre>:RH-Firewall-1-INPUT - [0:0]</pre><pre>-A INPUT -j RH-Firewall-1-INPUT</pre><pre>-A FORWARD -j RH-Firewall-1-INPUT</pre>
<pre>-A RH-Firewall-1-INPUT -i lo -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p xxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p xxx -j ACCEPT</pre><pre>
-A RH-Firewall-1-INPUT -p udp --dport xxxx -d xxxxxxxxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p udp -m udp --dport xxxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport xxxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</pre>
<pre>-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW </pre><pre>-m recent --set</pre><pre>-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW </pre><pre>-m recent --update --seconds 60 --hitcount 4 -j DROP</pre>
<pre>#-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 </pre>
<pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport </pre><pre>10000:20000 -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxxx </pre><pre>-j ACCEPT</pre>
<pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre>
<pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx </pre><pre>-j ACCEPT</pre>
<pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited</pre>
<pre>COMMIT</pre><pre> </pre><pre>Att</pre><pre> </pre><pre>Eduardo</pre><pre> </pre><pre>Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu:</pre><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><pre>Eduardo,</pre>
<pre> </pre><pre>Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você</pre><pre>pode limitar o número de conexões de uma mesma fonte durante um</pre><pre>determinado período. Você pode ainda proteger outros serviços...</pre>
<pre> </pre><pre>ps: não cheguei a testar!</pre><pre> </pre><pre><< Prevent DoS attack in Linux using IPTABLES>></pre><pre> </pre><pre>A major problem facing by mail server admin is DOS (Deniel Of Service)</pre>
<pre>attack. Hackers will try to mess up with the most popular ports of a</pre><pre>UNIX/LINUX machines. We can prevent this my writing an IPTABLE rule in</pre><pre>the server. The working is ,if some one is trying make connection</pre>
<pre>continuously through a specified port the rule will block the IPADDRESS</pre><pre>permanently. Here I am stating the securing of PORT 25 (SMTP) here you</pre><pre>can use your own</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m</pre>
<pre>recent --set</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m</pre><pre>recent --update --seconds 60 --hitcount 4 -j DROP</pre><pre> </pre><pre>This will Block all the IP ADDRESS which will make connection to port 25</pre>
<pre>continuously within ie 4 SMTP connection within 60 seconds. You can</pre><pre>change PORT,INTERVALs here.</pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre>
<pre>Em Sáb, 2010-12-11 às 10:10 -0200, Rodrigo Lang escreveu:</pre><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><pre> Em 11/12/2010, às 10:54, Fernando Meira Lins escreveu:</pre><pre> </pre><pre> > Também fui atacado por este IP e o fail2ban, demorou 132</pre>
<pre> tentativas</pre><pre> > para bloquear. Muito estranho... Assim que recebi o alerta,</pre><pre> de</pre><pre> > imediato bloqueei pelo IPTABLES, mas de fato o que intriga,</pre>
<pre> é porque</pre><pre> > o fail2ban deixou passar tantas tentativas além do</pre><pre> estipulado?</pre><pre> ></pre><pre> </pre><pre> </pre><pre> </pre><pre>Pelo que eu saiba (posso estar errado) o fail2ban bloqueia após 3</pre>
<pre>tentativas no mesmo ramal.</pre><pre> </pre><pre> </pre><pre> </pre><pre>At,</pre><pre>-- </pre><pre>Rodrigo Lang</pre><pre>Opening your mind - Just another Open Source site</pre><pre> </pre><pre>_______________________________________________</pre>
<pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.</pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre><pre>- Suporte técnico local qualificado e gratuito</pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre>
<pre>_______________________________________________</pre><pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre>
<pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre><pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre>
<pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre><pre>______________________________________________</pre>
<pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote><pre> </pre><pre>_______________________________________________</pre><pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.</pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre>
<pre>- Suporte técnico local qualificado e gratuito</pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre><pre>_______________________________________________</pre>
<pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre><pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre>
<pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre><pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre>
<pre>______________________________________________</pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
<pre> </pre></blockquote><pre> </pre><pre>_______________________________________________</pre><pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. </pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre>
<pre>- Suporte técnico local qualificado e gratuito </pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre><pre>_______________________________________________</pre>
<pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre><pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre>
<pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre><pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre>
<pre>______________________________________________</pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote><pre> </pre><pre> </pre><pre>_______________________________________________</pre><pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. </pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre>
<pre>- Suporte técnico local qualificado e gratuito </pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre><pre>_______________________________________________</pre>
<pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre><pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre>
<pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre><pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre>
<pre>______________________________________________</pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
<pre> </pre><p class="MsoNormal"> </p></div></div></div></div><br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>