Pessoal, esta é a minha configuração.<br>Aparentemente esta tudo OK.<br><br>A intenção era bloquear todo tráfego de entrada (exceto o listado abaixo), todo roteamento e liberar todo trafego de saida permitindo que retorne com o "ESTABLISHED".<br>
<br>Permiti apenas o seguinte tráfego de entrada.<br>Ping, loopback, porta 5100 para o SSH, porta 80 Apache, porta 20100 socket, 10000:20000 RTP Asterisk, 5038 Manager Asterisk, 5060 só IPs da TellFree e 8080 do Tomcat.<br>
<br>Alguma sugestão?<br><br>:INPUT DROP [451:36832]<br>:FORWARD DROP [0:0]<br>:OUTPUT ACCEPT [263:125987]<br>-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT<br>-A INPUT -i lo -j ACCEPT<br>-A INPUT -p tcp -m tcp --dport 5100 -j ACCEPT<br>
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>-A INPUT -s <a href="http://127.0.0.1/32">127.0.0.1/32</a> -j ACCEPT<br>-A INPUT -p udp -m udp --dport 20100 -j ACCEPT<br>
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT<br>-A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT<br>-A INPUT -s <a href="http://201.33.209.147/32">201.33.209.147/32</a> -p udp -m udp --dport 5060 -j ACCEPT<br>-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT<br>
COMMIT<br><br><br><br><br><br><br><br><br><div class="gmail_quote">Em 11 de janeiro de 2012 00:33, Judson Carneiro <span dir="ltr"><<a href="mailto:judson.jcj@gmail.com">judson.jcj@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Saudações a todos da lista!<br><br>Estou colocando um servidor Asterisk no ar e preciso cuidar da segurança.<br>Este servidor precisa possuir (aliás, ja possui) um IP para a Internet.<br>
Alguém poderia me ensinar quais as portas eu tenho que fechar pelo iptables?<br>
<br>A intenção é fechar tudo que não for usado.<br>Praticamente só devem ficar abertas as portas abaixo:<br><br>SSH que vai pra uma outra porta que não a padrão<br>5038<br>10000 a 20000 para o RTP<br>20100 para socket<br>
5060 para o tronco SIP da Tellfree<br><br>Tem mais alguma porta que o Asterisk precisa usar? Ah!!! Tenho que usar o MySQL também neste servidor. Porta 3308.<br><br>A principio desejo impedir que sipfones/softfones se registrem tanto de dentro da rede quanto de fora. Nem haverá extensões de ramais no plano de discagem, só uma ura. Ou seja, uma vez que o Asterisk se logue na tellfree ele passa a receber ligações e jogar pra ura, mais nada.<br>
<br>Muito grato!<br>
</blockquote></div><br>