<p>Ei Mauricio.<br>
O SSH, alem de mudar a porta eu tinha configurado para ele nao aceitar login de root direto. Tem que logar como um usuário qq e usar o "su".</p>
<p>Mas eu queria mais. Nao retotnar a vers do programa qdo o ip fosse scaneado, por ex. O asterisk tz retornendo, centos retornando, tomcat retornando...<br>
</p>
<div class="gmail_quote">Em 13/01/2012 20:31, "Mauricio Magalhães" <<a href="mailto:mauriciommagalhaes@gmail.com">mauriciommagalhaes@gmail.com</a>> escreveu:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Judson,<div><br></div><div>Eu particularmente as portas tcp, eu instalaria um servidor vpn (openvpn) e teria acesso seguro as portas tcp. <br><br>Outra dica, mudar a porta padrão do SSH não vai mudar muita coisa, qualquer scanner identifica essa porta como sendo do serviço de ssh, mesmo desabilitando o banner.<br>
<br>Caso não tenha feito, desative o acesso ao root, no SSH so deixe ele no sudo. e acesse o servidor e crie um usuário especifico para administração do server.<br><br>De uma lida sobre openvpn vc vai ficar muito mais seguro.<br>
<br>Caso não queira openvpn existe um modulo no Iptables chamado RECENT, poderia implementar mais segurança a portas TCP que vc quer liberar. </div><div><br></div><div>Abraços<br clear="all"><br><br><div><span style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left">
<strong><span style="font-family:verdana,geneva">Maurício Magalhães.</span></strong></p></span></div><br>
<br><br><div class="gmail_quote">Em 13 de janeiro de 2012 19:02, Judson Carneiro <span dir="ltr"><<a href="mailto:judson.jcj@gmail.com" target="_blank">judson.jcj@gmail.com</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Pessoal, esta é a minha configuração.<br>Aparentemente esta tudo OK.<br><br>A intenção era bloquear todo tráfego de entrada (exceto o listado abaixo), todo roteamento e liberar todo trafego de saida permitindo que retorne com o "ESTABLISHED".<br>
<br>Permiti apenas o seguinte tráfego de entrada.<br>Ping, loopback, porta 5100 para o SSH, porta 80 Apache, porta 20100 socket, 10000:20000 RTP Asterisk, 5038 Manager Asterisk, 5060 só IPs da TellFree e 8080 do Tomcat.<br>
<br>Alguma sugestão?<br><br>:INPUT DROP [451:36832]<br>:FORWARD DROP [0:0]<br>:OUTPUT ACCEPT [263:125987]<br>-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT<br>-A INPUT -i lo -j ACCEPT<br>-A INPUT -p tcp -m tcp --dport 5100 -j ACCEPT<br>
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>-A INPUT -s <a href="http://127.0.0.1/32" target="_blank">127.0.0.1/32</a> -j ACCEPT<br>-A INPUT -p udp -m udp --dport 20100 -j ACCEPT<br>
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT<br>-A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT<br>-A INPUT -s <a href="http://201.33.209.147/32" target="_blank">201.33.209.147/32</a> -p udp -m udp --dport 5060 -j ACCEPT<br>
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT<br>
COMMIT<br><br><br><br><br><br><br><br><br><div class="gmail_quote">Em 11 de janeiro de 2012 00:33, Judson Carneiro <span dir="ltr"><<a href="mailto:judson.jcj@gmail.com" target="_blank">judson.jcj@gmail.com</a>></span> escreveu:<div>
<div><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Saudações a todos da lista!<br><br>Estou colocando um servidor Asterisk no ar e preciso cuidar da segurança.<br>Este servidor precisa possuir (aliás, ja possui) um IP para a Internet.<br>
Alguém poderia me ensinar quais as portas eu tenho que fechar pelo iptables?<br>
<br>A intenção é fechar tudo que não for usado.<br>Praticamente só devem ficar abertas as portas abaixo:<br><br>SSH que vai pra uma outra porta que não a padrão<br>5038<br>10000 a 20000 para o RTP<br>20100 para socket<br>
5060 para o tronco SIP da Tellfree<br><br>Tem mais alguma porta que o Asterisk precisa usar? Ah!!! Tenho que usar o MySQL também neste servidor. Porta 3308.<br><br>A principio desejo impedir que sipfones/softfones se registrem tanto de dentro da rede quanto de fora. Nem haverá extensões de ramais no plano de discagem, só uma ura. Ou seja, uma vez que o Asterisk se logue na tellfree ele passa a receber ligações e jogar pra ura, mais nada.<br>
<br>Muito grato!<br>
</blockquote></div></div></div><br>
<br>_______________________________________________<br>
KHOMP ::: External Series Experience :::<br>
Um novo conceito para o mercado de aplicações que vai<br>
fazer você pensar fora da caixa. Aguarde este lançamento<br>
_______________________________________________<br>
DIGIVOICE: Lider no mercado de placas para Asterisk<br>
Único fabricante com Centro de Treinamento especializado.<br>
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200" target="_blank">(11)3016-5200</a>.<br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div>
<br></div>
<br>_______________________________________________<br>
KHOMP ::: External Series Experience :::<br>
Um novo conceito para o mercado de aplicações que vai<br>
fazer você pensar fora da caixa. Aguarde este lançamento<br>
_______________________________________________<br>
DIGIVOICE: Lider no mercado de placas para Asterisk<br>
Único fabricante com Centro de Treinamento especializado.<br>
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200">(11)3016-5200</a>.<br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011">(11) 5503-1011</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>