<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix"><br>
Este script pega a lista e gera um arquivo (ou ruleset do
iptables) para você, ele baixa a lista da lacnic cada vez que
executa, entao se houver alguma modificação voce atualiza<br>
<br>
Ex de uso: sh nome_do_script BR<br>
<br>
Ele vai perguntar a area, voce responde america latina, e o tipo
que voce quer, se é a lista ou o ruleset<br>
<br>
, ele ta com um erro na expressao regular que ele nao ta deixando
apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem
quiser corrigir (nao to com tempo neste momento) manda a correção
pra lista.<br>
<br>
PS: não sei quem é o autor, peguei uma vez na internet isso ai<br>
<br>
#!/bin/bash<br>
<br>
REV="$Revision: 4 $"<br>
VERSION="0.1"<br>
RELEASE=`echo ${REV} | awk '{ print $2}'`<br>
<br>
# Arg. check<br>
if [ "${1}" = "" ]; then<br>
echo `basename ${0}`," v.${VERSION}.${RELEASE}"<br>
echo "Usage Error: missing arguments"<br>
echo ""<br>
echo " Usage: ${0} <country code>"<br>
echo " Country codes available at
<a class="moz-txt-link-freetext" href="http://www.maxmind.com/app/iso3166">http://www.maxmind.com/app/iso3166</a>"<br>
echo ""<br>
exit<br>
else<br>
# too lazy to work on a script that will download from the right
server regarding what has been passed at the prompt :p<br>
# <a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre">http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre</a><br>
echo "The country specified belongs to :"<br>
echo "1. Africa"<br>
echo "2. Asia/Pacific"<br>
echo "3. America"<br>
echo "4. Latin America/Caribbean"<br>
echo "5. Europe"<br>
echo ""<br>
echo -n "Your zone : "<br>
read ZONE<br>
<br>
echo ""<br>
echo "What kind of list do you want to generate ?"<br>
echo "1. A list of blocks : simple list, 1 block per line"<br>
echo "2. Iptables rulesets : you can set what comes before and
after the blocks"<br>
echo ""<br>
echo -n "Please make your choice [1/2] : "<br>
<br>
read LISTRULE<br>
<br>
if [ "${LISTRULE}" = "2" ]; then<br>
echo "Please specify the prefix rule (e.g. : iptables -A INPUT
-s)"<br>
read PRERULE<br>
echo "Specify the postfix rule (e.g. : -j DROP)"<br>
read POSTRULE<br>
fi<br>
<br>
# Afrinic (afrinic.net) :
<a class="moz-txt-link-freetext" href="ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest">ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest</a><br>
# Apnic (apnic.net) :
<a class="moz-txt-link-freetext" href="ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest">ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest</a><br>
# Arin (arin.net) :
<a class="moz-txt-link-freetext" href="ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest">ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest</a><br>
# Lacnic (lacnic.net) :
<a class="moz-txt-link-freetext" href="ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest">ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest</a><br>
# Ripe (ripe.net) :
<a class="moz-txt-link-freetext" href="ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest">ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest</a><br>
<br>
LINK=<a class="moz-txt-link-rfc2396E" href="ftp://ftp.apnic.net/public/stats/">"ftp://ftp.apnic.net/public/stats/"</a><br>
<br>
if [ "${ZONE}" = "1" ]; then <br>
FILE="afrinic/delegated-afrinic-latest"<br>
elif [ "${ZONE}" = "2" ]; then <br>
FILE="apnic/assigned-apnic-latest"<br>
elif [ "${ZONE}" = "3" ]; then <br>
FILE="arin/delegated-arin-latest"<br>
elif [ "${ZONE}" = "4" ]; then <br>
FILE="lacnic/delegated-lacnic-latest"<br>
elif [ "${ZONE}" = "5" ]; then <br>
FILE="ripe-ncc/delegated-ripencc-latest"<br>
fi<br>
<br>
TMP="/tmp"<br>
COUNTRY=${1}<br>
OUT="${TMP}/blocks-${COUNTRY}"<br>
<br>
cd ${TMP}<br>
echo ""<br>
echo "Download :"<br>
/usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O
${TMP}/db_${COUNTRY}<br>
echo ""<br>
rm -f ${OUT}<br>
<br>
for country in ${COUNTRY}<br>
do<br>
IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" |
egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
"s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`
<br>
<br>
for ips in ${IPS}<br>
do<br>
if [ "${LISTRULE}" = "2" ]; then<br>
echo "${PRERULE} ${ips} ${POSTRULE}" >>
${OUT}<br>
else<br>
echo "${ips}" >> ${OUT}<br>
fi<br>
done<br>
done <br>
<br>
echo "Block list saved as ${OUT}"<br>
echo ""<br>
<br>
rm -f ${FILE}<br>
<br>
fi<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
Em 15/07/13 10:55, Mike Tesliuk escreveu:<br>
</div>
<blockquote cite="mid:51E40D6F.8000902@tesliuk.com" type="cite">
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
<div class="moz-cite-prefix">Aqui tem um exemplo pra bloquear um
pais, é só inverter a logica e voce tem a liberação do pais e
bloqueio do resto<br>
<br>
<a moz-do-not-send="true" class="moz-txt-link-freetext"
href="http://www.cyberciti.biz/faq/block-entier-country-using-iptables/">http://www.cyberciti.biz/faq/block-entier-country-using-iptables/</a><br>
<br>
<br>
<br>
<br>
Em 15/07/13 10:20, Patrick EL Youssef escreveu:<br>
</div>
<blockquote cite="mid:51E4052D.2090205@gmail.com" type="cite">Caio
<br>
<br>
Pode postar a regra do firewall que usa pra bloquear esses ips?
<br>
<br>
Valeu <br>
<br>
Em 15-07-2013 11:01, Caio Pato escreveu: <br>
<blockquote type="cite">On Sun, Jul 14, 2013 at 10:47 PM,
asteriskdebian asterisk <br>
<a moz-do-not-send="true" class="moz-txt-link-rfc2396E"
href="mailto:asteriskdebian2013@gmail.com"><asteriskdebian2013@gmail.com></a>
wrote: <br>
<blockquote type="cite">uso FAIL2BAN como firewall!! <br>
</blockquote>
fail2ban não está mais sendo "eficiente" porque esses pulhas
estão <br>
fazendo um "slow scan" (na realidade, "slow attempt") nas
redes,. <br>
Antigamente eles despejavam 120 chamadas por vez. Testavam
todos os <br>
códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...)
de uma <br>
vez só. Agora, já mais "espertos", eles fazem apenas CINCO
tentativas <br>
por HORA, quando não fazem apenas quatro por hora, ao longo
das 24 <br>
horas do dia. Eles tem todo o tempo da vida, porque quando
conseguirem <br>
descobrir um buraco no seu dialplan, vão entupir de chamadas
para <br>
países árabes e da África. <br>
<br>
Assim, não dá mais para confiar APENAS no fail2ban - é um
método <br>
ultrapassado de proteção. <br>
<br>
Não sei qual é a sua utilização do servidor (provedor?
usuário? <br>
corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu
dialplan. <br>
<br>
A ligação teste é *SEMPRE* feita para alguns telefones: um
celular em <br>
Tel Aviv (Israel) ou um telefone virtual em Londres
(Inglaterra). <br>
<br>
NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a
cada dia - <br>
geralmente usando máquinas VPS, cujo IP não é dele MUITO menos
do <br>
servidor que efetivamente enviará as chamadas. Aqui (por ser <br>
corporativo hospedado em datacenter) eu decidi bloquear
geralmente o <br>
/8 do IP de origem. Resolve, mas eles sempre acham algum outro
bloco <br>
livre. <br>
<br>
Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM
BURACOS no <br>
dialplan e... monitorar a rede. <br>
<br>
Procure uma mensagem aqui na lista com o mesmo problema há
alguns <br>
meses. Um colega da lista foi "invadido" por esses pulhas e
quem <br>
detectou foi a área de segurança da empresa de telefonia - mas
só no <br>
dia seguinte da invasão... Ai o estrago já era grande demais.
<br>
<br>
<br>
Conclusão: <br>
1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você
bloqueia <br>
logo o bloco (/16 ou /8) ou relaxa... <br>
2) Veja seu dialplan: não permita códigos mágicos, nem
cadeados a <br>
partir da rede externa; <br>
3) Olhe seu log com frequência - procure por chamadas para um
celular <br>
em Israel (9725) ou Palestina (970); <br>
4) Crie um script para enviar todas as madrugadas o logo de
todas as <br>
chamadas. Vai ajudar a achar eventuais tentativas de invasão -
mesmo <br>
que tardias, mas ajuda. <br>
_______________________________________________ <br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; <br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; <br>
Intercomunicadores para acesso remoto via rede IP. Conheça em
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="http://www.Khomp.com">www.Khomp.com</a>. <br>
_______________________________________________ <br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN
e SS7. <br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. <br>
Channel Bank – Appliance Asterisk - Acesse <a
moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="http://www.aligera.com.br">www.aligera.com.br</a>. <br>
_______________________________________________ <br>
Para remover seu email desta lista, basta enviar um email em
branco para <a moz-do-not-send="true"
class="moz-txt-link-abbreviated"
href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a>
<br>
</blockquote>
<br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="http://www.Khomp.com">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="http://www.aligera.com.br">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em <a class="moz-txt-link-abbreviated" href="http://www.Khomp.com">www.Khomp.com</a>.
_______________________________________________
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse <a class="moz-txt-link-abbreviated" href="http://www.aligera.com.br">www.aligera.com.br</a>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a class="moz-txt-link-abbreviated" href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></pre>
</blockquote>
<br>
</body>
</html>