<div dir="ltr">Olá Mike;<div><br></div><div>Eu não uso o CSP para esta finalidade mas segue um pequeno exemplo de outra aplicação que utilizo com este serviço.</div><div><br></div><div>############################################</div>
<div><br></div><div>#Bloqueando tudo</div><div><div>iptables -P INPUT DROP</div><div><br></div><div>#Liberando acesso SSH</div><div>iptables -A INPUT -p tcp --dport 55222 -j ACCEPT</div><div><br></div><div>#Liberando LocalHost</div>
<div>iptables -A INPUT -i lo -j ACCEPT</div><div><br></div><div>#liberando acesso Aplicação</div><div>iptables -A INPUT -p tcp --dport 6842 -j ACCEPT</div><div><br></div><div><div>#liberando pacote de retorno</div><div>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</div>
</div><div><br></div><div>###########################################################</div><div><br></div></div><div>Este último é bem interessante, pois ele libera um porta de entrada baseado na saída.</div><div><br></div>
<div>Esta regra pode ser utilizada, por exemplo, no caso de uma interligação entre dois sistemas asterisk. Ele apenas liberará a entrada em uma porta para o mesmo ip que ele está enviando uma requisição.</div><div><br></div>
<div>Eu uso estas configurações em um sistema com apenas uma placa também.</div><div><br></div></div><div class="gmail_extra"><br clear="all"><div>Atenciosamente;<div><br><div><b>Jorge Silveira</b></div><div><i><b><font size="1">dCAA - Digium Certified Asterisk Administrator</font></b></i></div>
<div><a href="http://br.linkedin.com/in/josilveira" target="_blank"><img src="http://www.linkedin.com/img/webpromo/btn_liprofile_blue_80x15_pt_BR.png?locale=" width="96" height="18"></a><span></span><span></span><a></a><br>
</div></div></div>
<br><br><div class="gmail_quote">Em 25 de julho de 2013 17:56, Mike <span dir="ltr"><<a href="mailto:mikeedede@hotmail.com" target="_blank">mikeedede@hotmail.com</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div lang="PT-BR" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Boa tarde!<u></u><u></u></span></p><p class="MsoNormal">
<span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Tenho apenas 1 interface.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Mike.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">De:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a> [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] <b>Em nome de </b>Alejandro Flores<br>
<b>Enviada em:</b> quinta-feira, 25 de julho de 2013 17:40<br><b>Para:</b> asteriskbrasil<br><b>Assunto:</b> Re: [AsteriskBrasil] Iptables<u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">
Mike,<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Você posssui 1 ou 2 interfaces de rede no asterisk? <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p>
</div><div><p class="MsoNormal">Abraço!<u></u><u></u></p></div><div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p><div><p class="MsoNormal">2013/7/25 Mike <<a href="mailto:mikeedede@hotmail.com" target="_blank">mikeedede@hotmail.com</a>><u></u><u></u></p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>
<div><div><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Senhores!</span></b><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Andei pesquisando no google e nos sites em que abriu.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Não tive muito sucesso na instalação do fail2ban ainda mas sofro com várias tentativas de invasão.</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Tenho uma central pabx com centos instalada nela e 2 filiais conectadas nela. Gostaria da ajuda para saber</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Como faço para bloquear no iptables todos e quaisquer outro acesso, liberando apenas os ips que tenho nas filiais.</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Não tenho muitas habilidades, mas tentei bloquear tudo com o comando</span><u></u><u></u></p><p class="MsoNormal">
<i><span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New"">iptables -P INPUT DROP</span></i><u></u><u></u></p><p class="MsoNormal"><i><span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New"">iptables -P OUTPUT DROP</span></i><u></u><u></u></p>
<p class="MsoNormal"><i><span lang="EN-US" style="font-size:10.0pt;font-family:"Courier New"">iptables -P FORWARD DROP</span></i><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Mas não consegui acesso mais das filiais na central.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Estou usando a seguinte regra no momento...</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif""># Firewall configuration written by system-config-firewall</span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif""># Manual customization of this file is not recommended.</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">*filter</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">:INPUT ACCEPT [0:0]</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">:FORWARD ACCEPT [0:0]</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">:OUTPUT ACCEPT [0:0]</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -p icmp -j ACCEPT</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -i lo -j ACCEPT</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 222.111.232.242 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 222.39.89.179 -j DROP</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 173.242.117.162 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 184.154.106.2 -j DROP</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s <a href="tel:216.244.89.19" value="+12162448919" target="_blank">216.244.89.19</a> -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 196.14.16.190 -j DROP</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 91.218.229.42 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 85.25.100.41 -j DROP</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 211.144.65.17 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 198.143.187.146 -j DROP </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 5.9.193.195 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 5.9.199.173 -j DROP</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 5.9.193.197 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s <a href="tel:91.229.220.20" value="+19122922020" target="_blank">91.229.220.20</a> -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 198.143.175.2 -j DROP</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -s 211.144.65.17 -j DROP</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT</span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 25322 -j ACCEPT</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 25380 -j ACCEPT</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT</span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m tcp -p tcp --dport 5038:5039 -j ACCEPT</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT</span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A INPUT -j REJECT --reject-with icmp-host-prohibited</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif"">-A FORWARD -j REJECT --reject-with icmp-host-prohibited</span><u></u><u></u></p><p class="MsoNormal">
<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">COMMIT</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Agradeço se alguém puder ajudar.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Grato.</span><u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#888888"> </span><span style="color:#888888"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#888888">Mike.</span><span style="color:#888888"><u></u><u></u></span></p></div></div></div></div><p class="MsoNormal">
<br>_______________________________________________<br>KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p>
</blockquote></div><span class="HOEnZb"><font color="#888888"><p class="MsoNormal"><br><br clear="all"><u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">-- <br><br>Alejandro Flores<br>
Office: 81 3031-4595<br>Mobile: <a href="tel:81%208210-0412" value="+18182100412" target="_blank">81 8210-0412</a><br><a href="http://www.triforsec.com.br/" target="_blank">http://www.triforsec.com.br/</a><br><a href="http://www.dialtelecom.com.br/" target="_blank">http://www.dialtelecom.com.br/</a> <u></u><u></u></p>
</font></span></div></div></div></div></div><br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>