Desculpe Mike,Mas não entendi qual o problema da lista menor até porque eu liberarei apenas estes ips bloqueando todo o resto
Patrick Em 15-07-2013 13:26, Mike Tesliuk escreveu:
Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista oficial dos IPs, se você quer ter uma regra correta voce deve usar algo deste formato, e vai por mim, isso nao muda com tanta frequencia assim.O tempo que você diz que demora é o tempo pra montar a lista, mas voce nao precisa carregar isso cada vez que voce faz um reload no firewall, voce monta um arquivo e le o arquivo junto com seu firewallEm 15/07/13 11:19, Patrick EL Youssef escreveu:Eu fiz uns testes já com essa porem só pra carregar o firewall leva um bom tempoUm colega ai da lista o SIlvio Garbes postou um firewall com uma lista de ips do Brasil bem menorEstarei tentando ela para ver Obrigado Mike Em 15-07-2013 12:01, Mike Tesliuk escreveu:Este script pega a lista e gera um arquivo (ou ruleset do iptables) para você, ele baixa a lista da lacnic cada vez que executa, entao se houver alguma modificação voce atualizaEx de uso: sh nome_do_script BREle vai perguntar a area, voce responde america latina, e o tipo que voce quer, se é a lista ou o ruleset, ele ta com um erro na expressao regular que ele nao ta deixando apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem quiser corrigir (nao to com tempo neste momento) manda a correção pra lista.PS: não sei quem é o autor, peguei uma vez na internet isso ai #!/bin/bash REV="$Revision: 4 $" VERSION="0.1" RELEASE=`echo ${REV} | awk '{ print $2}'` # Arg. check if [ "${1}" = "" ]; then echo `basename ${0}`," v.${VERSION}.${RELEASE}" echo "Usage Error: missing arguments" echo "" echo " Usage: ${0} <country code>"echo " Country codes available at http://www.maxmind.com/app/iso3166"echo "" exit else# too lazy to work on a script that will download from the right server regarding what has been passed at the prompt :p# http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre echo "The country specified belongs to :" echo "1. Africa" echo "2. Asia/Pacific" echo "3. America" echo "4. Latin America/Caribbean" echo "5. Europe" echo "" echo -n "Your zone : " read ZONE echo "" echo "What kind of list do you want to generate ?" echo "1. A list of blocks : simple list, 1 block per line"echo "2. Iptables rulesets : you can set what comes before and after the blocks"echo "" echo -n "Please make your choice [1/2] : " read LISTRULE if [ "${LISTRULE}" = "2" ]; then echo "Please specify the prefix rule (e.g. : iptables -A INPUT -s)" read PRERULE echo "Specify the postfix rule (e.g. : -j DROP)" read POSTRULE fi# Afrinic (afrinic.net) : ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest # Apnic (apnic.net) : ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest # Arin (arin.net) : ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest # Lacnic (lacnic.net) : ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest # Ripe (ripe.net) : ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latestLINK="ftp://ftp.apnic.net/public/stats/" if [ "${ZONE}" = "1" ]; then FILE="afrinic/delegated-afrinic-latest" elif [ "${ZONE}" = "2" ]; then FILE="apnic/assigned-apnic-latest" elif [ "${ZONE}" = "3" ]; then FILE="arin/delegated-arin-latest" elif [ "${ZONE}" = "4" ]; then FILE="lacnic/delegated-lacnic-latest" elif [ "${ZONE}" = "5" ]; then FILE="ripe-ncc/delegated-ripencc-latest" fi TMP="/tmp" COUNTRY=${1} OUT="${TMP}/blocks-${COUNTRY}" cd ${TMP} echo "" echo "Download :"/usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O ${TMP}/db_${COUNTRY}echo "" rm -f ${OUT} for country in ${COUNTRY} doIPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`for ips in ${IPS} do if [ "${LISTRULE}" = "2" ]; then echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT} else echo "${ips}" >> ${OUT} fi done done echo "Block list saved as ${OUT}" echo "" rm -f ${FILE} fi Em 15/07/13 10:55, Mike Tesliuk escreveu:Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e voce tem a liberação do pais e bloqueio do restohttp://www.cyberciti.biz/faq/block-entier-country-using-iptables/ Em 15/07/13 10:20, Patrick EL Youssef escreveu:Caio Pode postar a regra do firewall que usa pra bloquear esses ips? Valeu Em 15-07-2013 11:01, Caio Pato escreveu:On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk <asteriskdebian2...@gmail.com> wrote:uso FAIL2BAN como firewall!!fail2ban não está mais sendo "eficiente" porque esses pulhas estão fazendo um "slow scan" (na realidade, "slow attempt") nas redes,. Antigamente eles despejavam 120 chamadas por vez. Testavam todos os códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de umavez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativaspor HORA, quando não fazem apenas quatro por hora, ao longo das 24horas do dia. Eles tem todo o tempo da vida, porque quando conseguiremdescobrir um buraco no seu dialplan, vão entupir de chamadas para países árabes e da África. Assim, não dá mais para confiar APENAS no fail2ban - é um método ultrapassado de proteção. Não sei qual é a sua utilização do servidor (provedor? usuário? corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.A ligação teste é *SEMPRE* feita para alguns telefones: um celular emTel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do servidor que efetivamente enviará as chamadas. Aqui (por ser corporativo hospedado em datacenter) eu decidi bloquear geralmente o /8 do IP de origem. Resolve, mas eles sempre acham algum outro bloco livre. Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS no dialplan e... monitorar a rede. Procure uma mensagem aqui na lista com o mesmo problema há alguns meses. Um colega da lista foi "invadido" por esses pulhas e quem detectou foi a área de segurança da empresa de telefonia - mas só no dia seguinte da invasão... Ai o estrago já era grande demais. Conclusão: 1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueia logo o bloco (/16 ou /8) ou relaxa... 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a partir da rede externa;3) Olhe seu log com frequência - procure por chamadas para um celularem Israel (9725) ou Palestina (970); 4) Crie um script para enviar todas as madrugadas o logo de todas as chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmo que tardias, mas ajuda. _______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com._______________________________________________ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org