<div dir="ltr">Muito bom Thiago, parabéns pela iniciativa.<br><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">Em 24 de setembro de 2013 11:59, Thiago Anselmo <span dir="ltr"><<a href="mailto:thiagoo.anselmoo@gmail.com" target="_blank">thiagoo.anselmoo@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não IFGLOBAL...<div><br></div></div>
<div class="gmail_extra"><br><br><div class="gmail_quote">Em 24 de setembro de 2013 11:57, Thiago Anselmo <span dir="ltr"><<a href="mailto:thiagoo.anselmoo@gmail.com" target="_blank">thiagoo.anselmoo@gmail.com</a>></span> escreveu:<div>
<div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br><br>Guilherme e outros amigos que tenha realmente a necessidade de ter um IP válido no seu asterisk use o seguinte firewall...</div>
<div><br></div><div>#!/bin/bash</div><div><br></div><div><div>REDE_OPERADORA="X.X.X.X/32"</div>
<div>REDE_INTERNA="<a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a>"</div><div><br></div><div>IFLOOPBACK="lo"</div><div>IFWAN="eth0"</div><div>IFLAN="eth1"</div><div>
<br></div><div>
<br></div><div># [ CRIA NOVAS CHAINS ]</div><div><br></div><div>iptables -N OPERADORA</div><div>iptables -N LAN</div><div><br></div><div># [ LIMPA TABELAS E CHAINS ]</div><div><br></div><div>iptables -F</div><div>iptables -F OPERADORA</div>
<div>iptables -F LAN</div><div><br></div><div># [ INSERIR CHAINS NAS TABELAS ]</div><div><br></div><div>iptables -A INPUT -j OPERADORA</div><div>iptables -A INPUT -j LAN</div><div><br></div><div># [ MODIFICA POLITICAS DE ACESSO ]</div>
<div><br></div><div>iptables -P INPUT DROP</div><div>iptables -P FORWARD DROP</div><div>iptables -P OUTPUT ACCEPT</div><div><br></div><div><br></div><div>#---------------------------- [ INICIO TABELA LAN ] ---------------------------#</div>
<div><br></div><div># LIBERA LOOPBACK</div><div>iptables -A INPUT -i $IFLOOPBACK -j ACCEPT</div><div><br></div><div>#---------------------------- [ INICIO TABELA LAN ] ---------------------------#</div><div><br></div><div>
# LIBERA REDE LOCAL</div><div>iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT</div><div><br></div><div>#---------------------------- [ INICIO TABELA OPERADORA ] ---------------------------#</div><div><br></div><div>
# LIBERA CONSULTA DNS GOOGLE</div>
<div>iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT</div><div>iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT</div><div><br></div><div># LIBERA ASTERISK OPERADORA</div><div>iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j ACCEPT</div>
<div>iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j ACCEPT</div><div><br></div><div># LIBERA RTP OPERADORA</div><div>iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT</div>
<div>iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT</div></div><div><br></div><div>OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua operadora e seu PABX utilizam para aumentar a segurança!</div>
<div><br></div><div>OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu banco de dados mysql ou qualquer liberado para fora, não deixar a porta do manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER 100% confiavel... E Deixar um Range de IP´S apenas do BR liberado na minha visão, é deixar um rombo no seu firewall!! </div>
<div><br></div><div>Bloquei tudo libere para quem tem acesso! Para ter um logo melhor procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com os logs de portas etc... "CUIDADO com o log pois poderás ter problema dependendo a ação tomada"</div>
<div><br></div><div>OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso algum provedor utilize dominio ao invéis de IP.</div><div><br></div><div>OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT ;)</div>
<div><br></div><div>Abraço.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">Em 24 de setembro de 2013 11:26, jefaokpta <span dir="ltr"><<a href="mailto:jefaokpta@hotmail.com" target="_blank">jefaokpta@hotmail.com</a>></span> escreveu:<div>
<div><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Obrigado por compartilhar Guilherme.<br>
<br>
Em <a href="tel:24-09-2013%2009" value="+12409201309" target="_blank">24-09-2013 09</a>:32, Guilherme Rezende escreveu:<br>
<div>> #!/bin/bash<br>
> ipt=/sbin/iptables<br>
> $ipt -F<br>
> $ipt -A INPUT -i eth2 -s <a href="http://172.16.5.0/24" target="_blank">172.16.5.0/24</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://186.0.0.0/8" target="_blank">186.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://187.0.0.0/8" target="_blank">187.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://177.0.0.0/8" target="_blank">177.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://179.0.0.0/8" target="_blank">179.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://189.0.0.0/8" target="_blank">189.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://200.0.0.0/8" target="_blank">200.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -s <a href="http://201.0.0.0/8" target="_blank">201.0.0.0/8</a> -p udp -j ACCEPT<br>
> $ipt -A INPUT -i eth2 -p udp -j DROP<br>
<br>
</div><div><div>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</div></div></blockquote></div></div></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Thiago Anselmo
</font></span></div>
</blockquote></div></div></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Thiago Anselmo
</font></span></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>