Este script pega a lista e gera um arquivo (ou ruleset do iptables)
para você, ele baixa a lista da lacnic cada vez que executa, entao se
houver alguma modificação voce atualiza
Ex de uso: sh nome_do_script BR
Ele vai perguntar a area, voce responde america latina, e o tipo que
voce quer, se é a lista ou o ruleset
, ele ta com um erro na expressao regular que ele nao ta deixando
apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem
quiser corrigir (nao to com tempo neste momento) manda a correção pra
lista.
PS: não sei quem é o autor, peguei uma vez na internet isso ai
#!/bin/bash
REV="$Revision: 4 $"
VERSION="0.1"
RELEASE=`echo ${REV} | awk '{ print $2}'`
# Arg. check
if [ "${1}" = "" ]; then
echo `basename ${0}`," v.${VERSION}.${RELEASE}"
echo "Usage Error: missing arguments"
echo ""
echo " Usage: ${0} <country code>"
echo " Country codes available at http://www.maxmind.com/app/iso3166";
echo ""
exit
else
# too lazy to work on a script that will download from the right
server regarding what has been passed at the prompt :p
# http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre
echo "The country specified belongs to :"
echo "1. Africa"
echo "2. Asia/Pacific"
echo "3. America"
echo "4. Latin America/Caribbean"
echo "5. Europe"
echo ""
echo -n "Your zone : "
read ZONE
echo ""
echo "What kind of list do you want to generate ?"
echo "1. A list of blocks : simple list, 1 block per line"
echo "2. Iptables rulesets : you can set what comes before and after
the blocks"
echo ""
echo -n "Please make your choice [1/2] : "
read LISTRULE
if [ "${LISTRULE}" = "2" ]; then
echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"
read PRERULE
echo "Specify the postfix rule (e.g. : -j DROP)"
read POSTRULE
fi
# Afrinic (afrinic.net) :
ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest
# Apnic (apnic.net) :
ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest
# Arin (arin.net) :
ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest
# Lacnic (lacnic.net) :
ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest
# Ripe (ripe.net) :
ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latest
LINK="ftp://ftp.apnic.net/public/stats/";
if [ "${ZONE}" = "1" ]; then
FILE="afrinic/delegated-afrinic-latest"
elif [ "${ZONE}" = "2" ]; then
FILE="apnic/assigned-apnic-latest"
elif [ "${ZONE}" = "3" ]; then
FILE="arin/delegated-arin-latest"
elif [ "${ZONE}" = "4" ]; then
FILE="lacnic/delegated-lacnic-latest"
elif [ "${ZONE}" = "5" ]; then
FILE="ripe-ncc/delegated-ripencc-latest"
fi
TMP="/tmp"
COUNTRY=${1}
OUT="${TMP}/blocks-${COUNTRY}"
cd ${TMP}
echo ""
echo "Download :"
/usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O
${TMP}/db_${COUNTRY}
echo ""
rm -f ${OUT}
for country in ${COUNTRY}
do
IPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep
'[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re
"s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`
for ips in ${IPS}
do
if [ "${LISTRULE}" = "2" ]; then
echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT}
else
echo "${ips}" >> ${OUT}
fi
done
done
echo "Block list saved as ${OUT}"
echo ""
rm -f ${FILE}
fi
Em 15/07/13 10:55, Mike Tesliuk escreveu:
Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e
voce tem a liberação do pais e bloqueio do resto
http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
Em 15/07/13 10:20, Patrick EL Youssef escreveu:
Caio
Pode postar a regra do firewall que usa pra bloquear esses ips?
Valeu
Em 15-07-2013 11:01, Caio Pato escreveu:
On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk
<asteriskdebian2...@gmail.com> wrote:
uso FAIL2BAN como firewall!!
fail2ban não está mais sendo "eficiente" porque esses pulhas estão
fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.
Antigamente eles despejavam 120 chamadas por vez. Testavam todos os
códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma
vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativas
por HORA, quando não fazem apenas quatro por hora, ao longo das 24
horas do dia. Eles tem todo o tempo da vida, porque quando
conseguirem
descobrir um buraco no seu dialplan, vão entupir de chamadas para
países árabes e da África.
Assim, não dá mais para confiar APENAS no fail2ban - é um método
ultrapassado de proteção.
Não sei qual é a sua utilização do servidor (provedor? usuário?
corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.
A ligação teste é *SEMPRE* feita para alguns telefones: um celular em
Tel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).
NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -
geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do
servidor que efetivamente enviará as chamadas. Aqui (por ser
corporativo hospedado em datacenter) eu decidi bloquear geralmente o
/8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco
livre.
Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no
dialplan e... monitorar a rede.
Procure uma mensagem aqui na lista com o mesmo problema há alguns
meses. Um colega da lista foi "invadido" por esses pulhas e quem
detectou foi a área de segurança da empresa de telefonia - mas só no
dia seguinte da invasão... Ai o estrago já era grande demais.
Conclusão:
1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia
logo o bloco (/16 ou /8) ou relaxa...
2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a
partir da rede externa;
3) Olhe seu log com frequência - procure por chamadas para um celular
em Israel (9725) ou Palestina (970);
4) Crie um script para enviar todas as madrugadas o logo de todas as
chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo
que tardias, mas ajuda.
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em
www.Khomp.com.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e
SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em
branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco
paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco
paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco
paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org
