Estes Fail2ban estão configurados errados. Estude o fail2ban, esta continua sendo a melhor opção de segurança.<br><br><div class="gmail_quote">Em 14 de dezembro de 2010 04:22, Marcus Queiroz <span dir="ltr">&lt;<a href="mailto:queiroz.marcus@gmail.com">queiroz.marcus@gmail.com</a>&gt;</span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">troca a porta do registro e resolve o caso.<div><br></div><div><br clear="all">Marcus A. Queiroz<br><br>
<br><br><div class="gmail_quote">Em 13 de dezembro de 2010 08:22, Roberto Fonseca <span dir="ltr">&lt;<a href="mailto:robertodafonseca@terra.com.br" target="_blank">robertodafonseca@terra.com.br</a>&gt;</span> escreveu:<div>
<div></div><div class="h5"><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div bgcolor="white" lang="PT-BR" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Dica facil e rapida, não requer prática, tampouco habilidade:</span></p><p class="MsoNormal">

<span style="font-size:11.0pt;color:#1F497D">Altera a porta do sip de 5060 para qualquer outro número alto, tipo 55060....</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal">

<span style="font-size:11.0pt;color:#1F497D">99% dos ataques só se dirigem a 5060....é muito cara, dispendioso de recursos ficar fazendo portscan...</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Roberto Fonseca</span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"> </span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span style="font-size:10.0pt;color:windowtext">De:</span></b><span style="font-size:10.0pt;color:windowtext"> <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a> [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] <b>Em nome de </b>Eduardo Pereira<br>

<b>Enviada em:</b> sábado, 11 de dezembro de 2010 12:44</span></p><div><br><b>Para:</b> <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
</div><b>Assunto:</b> Re: [AsteriskBrasil] RES: Ataque<p></p></div></div><div><div></div><div><p class="MsoNormal"> </p><p class="MsoNormal"><span style="font-size:7.5pt">Wagner<br><br>o resultado das regras:<br>
<br>-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --set<br>-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP<br>

-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --set<br>-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP<br>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j ACCEPT<br>

<br>    0     0                   udp  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           udp dpt:5060 state NEW recent: SET name: DEFAULT side: source <br>

    0     0 DROP       udp  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           udp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source <br>

    0     0                    tcp  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           tcp dpt:5060 state NEW recent: SET name: DEFAULT side: source <br>

    0     0 DROP       tcp  --  eth0   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           tcp dpt:5060 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source <br>

    0     0 ACCEPT  udp  --  *      *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>            <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>           state NEW udp dpt:5060 </span><br><br>Observe que a ultima llinha libera a 5060, devo remover?<br>

<br>Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: </p><pre>Eduardo,</pre><pre> </pre><pre>Parece que esse arquivo está correto para o UDP. Para TCP está faltando</pre><pre>algo.</pre><pre> </pre><pre>Testei os dois comandos abaixo na minha própria máquina para o serviço</pre>

<pre>de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo.</pre><pre> </pre><pre>Se você pedir para o iptables listar as regras com um verbose (&quot;iptables</pre><pre>-t filter -nvL&quot;) vc consegue ver se houve algum drop na regra e</pre>

<pre>consequentemente se ela está funcionando.</pre><pre> </pre><pre>Utilizei:</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent</pre>

<pre>--update --seconds 60 --hitcount 1 -j DROP</pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre>Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu:</pre><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<pre>Wagner</pre><pre> </pre><pre>utilizando o arquivo do proprio centos seria assim?</pre><pre> </pre><pre># Firewall configuration written by system-config-securitylevel</pre><pre># Manual customization of this file is not recommended.</pre>

<pre>*filter</pre><pre>:INPUT ACCEPT [0:0]</pre><pre>:FORWARD ACCEPT [0:0]</pre><pre>:OUTPUT ACCEPT [0:0]</pre><pre>:RH-Firewall-1-INPUT - [0:0]</pre><pre>-A INPUT -j RH-Firewall-1-INPUT</pre><pre>-A FORWARD -j RH-Firewall-1-INPUT</pre>

<pre>-A RH-Firewall-1-INPUT -i lo -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p xxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p xxx -j ACCEPT</pre><pre>
-A RH-Firewall-1-INPUT -p udp --dport xxxx -d xxxxxxxxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p udp -m udp --dport xxxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport xxxx -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</pre>

<pre>-A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW </pre><pre>-m recent --set</pre><pre>-A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW </pre><pre>-m recent --update --seconds 60 --hitcount 4 -j DROP</pre>

<pre>#-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 </pre>

<pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport </pre><pre>10000:20000 -j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxxx </pre><pre>-j ACCEPT</pre>

<pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre>

<pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx </pre><pre>-j ACCEPT</pre>

<pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx </pre><pre>-j ACCEPT</pre><pre>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited</pre>

<pre>COMMIT</pre><pre> </pre><pre>Att</pre><pre> </pre><pre>Eduardo</pre><pre> </pre><pre>Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu:</pre><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><pre>Eduardo,</pre>

<pre> </pre><pre>Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você</pre><pre>pode limitar o número de conexões de uma mesma fonte durante um</pre><pre>determinado período. Você pode ainda proteger outros serviços...</pre>

<pre> </pre><pre>ps: não cheguei a testar!</pre><pre> </pre><pre>&lt;&lt;  Prevent DoS attack in Linux using IPTABLES&gt;&gt;</pre><pre> </pre><pre>A major problem facing by mail server admin is DOS (Deniel Of Service)</pre>

<pre>attack. Hackers will try to mess up with the most popular ports of a</pre><pre>UNIX/LINUX machines. We can prevent this my writing an IPTABLE rule in</pre><pre>the server. The working is ,if some one is trying make connection</pre>

<pre>continuously through a specified port the rule will block the IPADDRESS</pre><pre>permanently. Here I am stating the securing of PORT 25 (SMTP) here you</pre><pre>can use your own</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m</pre>

<pre>recent --set</pre><pre> </pre><pre>iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m</pre><pre>recent --update --seconds 60 --hitcount 4 -j DROP</pre><pre> </pre><pre>This will Block all the IP ADDRESS which will make connection to port 25</pre>

<pre>continuously within ie 4 SMTP connection within 60 seconds. You can</pre><pre>change PORT,INTERVALs here.</pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre><pre> </pre>

<pre>Em Sáb, 2010-12-11 às 10:10 -0200, Rodrigo Lang escreveu:</pre><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><pre>         Em 11/12/2010, às 10:54, Fernando Meira Lins escreveu:</pre><pre> </pre><pre>         &gt;  Também fui atacado por este IP e o fail2ban, demorou 132</pre>

<pre>         tentativas</pre><pre>         &gt;  para bloquear. Muito estranho... Assim que recebi o alerta,</pre><pre>         de</pre><pre>         &gt;  imediato bloqueei pelo IPTABLES, mas de fato o que intriga,</pre>

<pre>         é porque</pre><pre>         &gt;  o fail2ban deixou passar tantas tentativas além do</pre><pre>         estipulado?</pre><pre>         &gt;</pre><pre> </pre><pre> </pre><pre> </pre><pre>Pelo que eu saiba (posso estar errado) o fail2ban bloqueia após 3</pre>

<pre>tentativas no mesmo ramal.</pre><pre> </pre><pre> </pre><pre> </pre><pre>At,</pre><pre>-- </pre><pre>Rodrigo Lang</pre><pre>Opening your mind - Just another Open Source site</pre><pre> </pre><pre>_______________________________________________</pre>

<pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.</pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre><pre>- Suporte técnico local qualificado e gratuito</pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre>

<pre>_______________________________________________</pre><pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre>

<pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre><pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre>

<pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre><pre>______________________________________________</pre>

<pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

</blockquote><pre> </pre><pre>_______________________________________________</pre><pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.</pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre>

<pre>- Suporte técnico local qualificado e gratuito</pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre><pre>_______________________________________________</pre>

<pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre><pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre>

<pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre><pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre>

<pre>______________________________________________</pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

<pre> </pre></blockquote><pre> </pre><pre>_______________________________________________</pre><pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. </pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre>

<pre>- Suporte técnico local qualificado e gratuito </pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre><pre>_______________________________________________</pre>

<pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre><pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre>

<pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre><pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre>

<pre>______________________________________________</pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

</blockquote><pre> </pre><pre> </pre><pre>_______________________________________________</pre><pre>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. </pre><pre>- Hardware com alta disponibilidade de recursos e qualidade KHOMP</pre>

<pre>- Suporte técnico local qualificado e gratuito </pre><pre>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a></pre><pre>_______________________________________________</pre>

<pre>Headsets Plantronics com o melhor preço do Brasil.</pre><pre>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a></pre><pre>VOIPMANIA STORE</pre><pre>________</pre><pre>Lista de discussões AsteriskBrasil.org</pre>

<pre><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a></pre><pre><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a></pre>

<pre>______________________________________________</pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>

<pre> </pre><p class="MsoNormal"> </p></div></div></div></div><br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div>
<br></div>
<br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br>