<div><h2 style="margin-top: 0px; margin-right: 0px; margin-bottom: 10px; margin-left: 0px; padding-top: 0px; padding-right: 3px; padding-bottom: 0px; padding-left: 3px; font-size: 1.6em; line-height: 1.2em; color: rgb(51, 51, 51); font-family: arial, verdana, sans-serif; text-align: left; background-color: rgb(255, 255, 255); ">
<a href="http://thiagolucas.wordpress.com/2011/11/01/iptables-firewall-sip-hosts-internacionais/" title="IPTables – Firewall SIP – Hosts Internacionais" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; color: rgb(0, 0, 0); outline-style: none; outline-width: initial; outline-color: initial; text-decoration: none; display: block; ">IPTables – Firewall SIP – Hosts Internacionais</a></h2>
<div class="entry" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 3px; padding-bottom: 0px; padding-left: 3px; overflow-x: hidden; overflow-y: hidden; color: rgb(51, 51, 51); font-family: arial, verdana, sans-serif; font-size: 12px; line-height: 16px; text-align: left; background-color: rgb(255, 255, 255); ">
<p style="margin-top: 10px; margin-right: 0px; margin-bottom: 10px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; line-height: 1.6em; "><a href="http://thiagolucas.wordpress.com/2011/11/01/iptables-firewall-sip-hosts-internacionais/" style="font-family: arial; line-height: normal; text-align: -webkit-auto; font-size: small; ">http://thiagolucas.wordpress.com/2011/11/01/iptables-firewall-sip-hosts-internacionais/</a></p>
</div></div><div>Bom uso!</div><div><br></div><div>Att.,</div><div>-- <br>THIAGO JOSÉ LUCAS<br>thiagojlucas(at)<a href="http://gmail.com/" target="_blank">gmail.com</a><br>Tecnólogo em Segurança de Redes - FATEC<br>GNU Linux Registered User Number #499756<br>
<a href="http://thiagolucas.wordpress.com/" target="_blank">http://thiagolucas.wordpress.com/</a></div><br><div class="gmail_quote">2011/11/5 <a href="mailto:joao@oxman.com.br">joao@oxman.com.br</a> <span dir="ltr"><<a href="mailto:joao@oxman.com.br">joao@oxman.com.br</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><span style="font-family:Tahoma;font-size:10pt">Desculpa corrigindo uma regra de output<div class="im"><br>
<br>
crie uma variavel de portas<br>
<br>
PA="1:30000" ;Portas abertas<br>
ET0="192.168.0.11"; IP SEU INTERNO<br>
<br>
Bloqueia Tudo<br>
iptables -P INPUT DROP<br>
iptables -P OUTPUT DROP<br>
iptables -P FORWARD DROP<br>
<br>
<div></div>
libera somente o ip desejado<br>
<br>
iptables -A INPUT -p tcp -s <a href="tel:189.99.99.233" value="+551899999233" target="_blank">189.99.99.233</a> --sport $PA -d $ET0 --dport $PA <br>
iptables -A INPUT -p udp -s <a href="tel:189.99.99.233" value="+551899999233" target="_blank">189.99.99.233</a> --sport $PA -d $ET0 --dport $PA <br></div>
iptables -A OUTPUT -p tcp -s $ET0 --sport $PA -d <a href="tel:189.99.99.223" value="+551899999223" target="_blank">189.99.99.223</a> --dport $PA <br>
iptables -A OUTPUT -p tcp -s $ET0 --sport $PA -d <a href="tel:189.99.99.223" value="+551899999223" target="_blank">189.99.99.223</a> --dport $PA<br>
<br>
<div></div>
PARA NÃO FECHA SEU ACESSO SSH E O WEB LIBERA SEU IP TAMBÉM, OUTRA COISA QUAL DISTRIBUIÇÃO VC USA, OS ATAQUES WEB SÃO MUITAS VEZES DIRETA NA INTERFACE WEB, VE DENTRO DO DIRETORIO WEB ADMIN SE TEM UM ARQUIVO ESTRANHO LÁ <br>
<br>
ABRAÇOS<br>
<br>
<br>
<br>
<span style="font-family:tahoma, arial, sans-serif;font-size:10pt"><hr size="2" width="100%" align="center">
<strong>De</strong>: "<a href="mailto:joao@oxman.com.br" target="_blank">joao@oxman.com.br</a>" <<a href="mailto:joao@oxman.com.br" target="_blank">joao@oxman.com.br</a>><br>
<strong>Enviado</strong>: sábado, 5 de novembro de 2011 00:31<br>
<strong>Para</strong>: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a>, <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
<strong>Assunto</strong>: Re: [AsteriskBrasil] Bloqueio de ips fora do Brasil por conta de ataques</span><br>
<br>
<span style="font-family:tahoma;font-size:10pt"><div><div class="h5">Ola amigo!<br>
<br>
Desculpe, mais tive esse problema e a melhor solução e você bloquear tudo e só liberar os IPs que deseja.<br>
<br>
crie uma variavel de portas<br>
<br>
PA="1:30000" ;Portas abertas<br>
ET0="192.168.0.11"; IP SEU INTERNO<br>
<br>
Bloqueia Tudo<br>
iptables -P INPUT DROP<br>
iptables -P OUTPUT DROP<br>
iptables -P FORWARD DROP<br>
<br>
<div></div>
libera somente o ip desejado<br>
<br>
iptables -A INPUT -p tcp -s <a href="tel:189.99.99.233" value="+551899999233" target="_blank">189.99.99.233</a> --sport $PA -d $ET0 --dport $PA <br>
iptables -A INPUT -p udp -s <a href="tel:189.99.99.233" value="+551899999233" target="_blank">189.99.99.233</a> --sport $PA -d $ET0 --dport $PA <br>
iptables -A OUTPUT -p tcp -s <a href="tel:189.99.99.233" value="+551899999233" target="_blank">189.99.99.233</a> --sport $PA -d $ET0 --dport $PA <br>
iptables -A OUTPUT -p tcp -s <a href="tel:189.99.99.233" value="+551899999233" target="_blank">189.99.99.233</a> --sport $PA -d $ET0 --dport $PA <br>
<br>
GARANTO PRA VOCÊ E QUALQUER UM QUE ISSSO FUNCIONA<br>
<br>
<br>
<br>
<span style="font-family:tahoma, arial, sans-serif;font-size:10pt"><hr size="2" width="100%" align="center">
<strong>De</strong>: "Fernando Beraldo" <<a href="mailto:fernando.beraldo@gmail.com" target="_blank">fernando.beraldo@gmail.com</a>><br>
<strong>Enviado</strong>: sexta-feira, 4 de novembro de 2011 18:57<br>
<strong>Para</strong>: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
<strong>Assunto</strong>: Re: [AsteriskBrasil] Bloqueio de ips fora do Brasil por conta de ataques</span><br>
<br>
Cara... Isso do jeito que você quer fazer não irá funcionar, pois os<br>
IP 187, 189, 200 e 201, possui "n" classes de rede.<br>
Se um IP for /28, /29 ou /30 sua regra furou. Outra coisa são os<br>
Octetos de cada classe, em um /24 existem 255 IPs, logo pela suas<br>
regras você estaria bloqueando a range 187.0.0.0 até 187.0.0.255, mas<br>
a 187.0.1.0 até 187.0.1.255 estaria liberada.<br>
Outra coisa, não gosto muito de usar o DROP logo no início(questão de<br>
gosto vai de cada um). As vezes dependendo da quantidade de fluxo<br>
tente a consumir recurso da máquina.<br>
Se realmente tiver que deixar essa range de IP liberados, tente<br>
configurar o Fail2Ban com esses howto (não sei já viu).<br>
<a href="http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk" target="_blank">http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk</a><br>
ou <a href="http://wnunes.com/2010/06/24/asterisk-com-fail2ban/" target="_blank">http://wnunes.com/2010/06/24/asterisk-com-fail2ban/</a><br>
Já vi gente aqui da lista falando sobre o OSSEC, pelo que andei lendo<br>
parece uma solução bem legal, se puder, testa ela também.<br>
<br>
[]'s<br>
Beraldo<br>
<br>
<br>
Em 4 de novembro de 2011 18:25, Ricardo Landim <<a href="mailto:pangole@bol.com.br" target="_blank">pangole@bol.com.br</a>> escreveu:<br></div></div><div class="im">
> Eu uso o ACL do proprio asterisk....<br>
><br>
> Dá uma estudada nas variaveis permit e deny!<br>
><br>
> Em 4 de novembro de 2011 17:52, Felippe <<a href="mailto:alcaponefelippe@bol.com.br" target="_blank">alcaponefelippe@bol.com.br</a>><br></div><div class="im">
> escreveu:<br>
>><br>
>> Ola.<br>
>><br>
>> Vi falando do fail2ban mas não consegui fazer funcionar 100% ainda.<br>
>> Alguem sabe me dizer o comando do iptables que bloqueia todos os ips e<br>
>> deixa somente liberado o ip com inicio 187,189,200 e 201?<br>
>><br>
>> Tentei<br></div>
>> iptables -I INPUT -s <a href="http://0.0.0.0/24" target="_blank">0.0.0.0/24</a> -j DROP<br>
>> iptables -I INPUT -s <a href="http://187.0.0.0/24" target="_blank">187.0.0.0/24</a> -j ACCEPT<br>
>> iptables -I INPUT -s <a href="http://189.0.0.0/24" target="_blank">189.0.0.0/24</a> -j ACCEPT<br>
>> iptables -I INPUT -s <a href="http://200.0.0.0/24" target="_blank">200.0.0.0/24</a> -j ACCEPT<br>
>> iptables -I INPUT -s <a href="http://201.0.0.0/24" target="_blank">201.0.0.0/24</a> -j ACCEPT<div class="im"><br>
>><br>
>> Mas nao deu. Mesmo assim os ataques continuam..<br>
>> A exemplo de um ataque agora com o ip 221.176.3.163 fiz a regra: iptables<br></div>
>> -I INPUT -s <a href="http://221.0.0.0/24" target="_blank">221.0.0.0/24</a> -j DROP mas tb nao adiantou.<div class="im"><br>
>> Bom eu sei que o que falta é experiencia com iptables da minha parte.<br>
>> rsrs. Mas no sufoco se alguem puder enviar alguma coisa será bem vinda.<br>
>><br>
>> Obg<br>
>> Felippe<br>
>><br>
>> _______________________________________________<br>
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
>> - Suporte técnico local qualificado e gratuito<br>
>> Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br></div><div><div class="h5">
>> _______________________________________________<br>
>> DIGIVOICE: Lider no mercado de placas para Asterisk<br>
>> Único fabricante com Centro de Treinamento especializado.<br>
>> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
>> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200" target="_blank">(11)3016-5200</a>.<br>
>> ________<br>
>> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP<br>
>> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga,<br>
>> Bilhetagem<br>
>> Confira em <a href="http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org" target="_blank">http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org</a><br>
>> Shop Voip, representante exclusivo: <a href="http://www.shopvoip.com.br" target="_blank">www.shopvoip.com.br</a> ou <a href="tel:0800-6021244" value="+558006021244" target="_blank">0800-6021244</a><br>
>> ______________________________________________<br>
>> Para remover seu email desta lista, basta enviar um email em branco para<br>
>> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
><br>
><br>
> _______________________________________________<br>
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
> - Suporte técnico local qualificado e gratuito<br>
> Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
> _______________________________________________<br>
> DIGIVOICE: Lider no mercado de placas para Asterisk<br>
> Único fabricante com Centro de Treinamento especializado.<br>
> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
> <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200" target="_blank">(11)3016-5200</a>.<br>
> ________<br>
> GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP<br>
> Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga,<br>
> Bilhetagem<br>
> Confira em <a href="http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org" target="_blank">http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org</a><br>
> Shop Voip, representante exclusivo: <a href="http://www.shopvoip.com.br" target="_blank">www.shopvoip.com.br</a> ou <a href="tel:0800-6021244" value="+558006021244" target="_blank">0800-6021244</a><br>
> ______________________________________________<br>
> Para remover seu email desta lista, basta enviar um email em branco para<br>
> <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
><br>
_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. <br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito <br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
DIGIVOICE: Lider no mercado de placas para Asterisk<br>
Único fabricante com Centro de Treinamento especializado.<br>
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. <br>
<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200" target="_blank">(11)3016-5200</a>.<br>
________<br>
GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP<br>
Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga, Bilhetagem<br>
Confira em <a href="http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org" target="_blank">http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org</a><br>
Shop Voip, representante exclusivo: <a href="http://www.shopvoip.com.br" target="_blank">www.shopvoip.com.br</a> ou <a href="tel:0800-6021244" value="+558006021244" target="_blank">0800-6021244</a> <br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</div></div></span></span>
<br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
DIGIVOICE: Lider no mercado de placas para Asterisk<br>
Único fabricante com Centro de Treinamento especializado.<br>
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200">(11)3016-5200</a>.<br>
________<br>
GATEWAY GSM-SIP, gateway Lyric VoIP com 2,4 e 6 canais GSM vía tronco SIP<br>
Escalável até 240 canáis, Portabilidade Numérica, Balanceamento de Carga, Bilhetagem<br>
Confira em <a href="http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org" target="_blank">http://www.yx.cl/landing/brasil/lyric_voip_asterisk.org</a><br>
Shop Voip, representante exclusivo: <a href="http://www.shopvoip.com.br" target="_blank">www.shopvoip.com.br</a> ou <a href="tel:0800-6021244" value="+558006021244">0800-6021244</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br><br clear="all"><div><br></div><br>