Entendi Mike,Estou dizendo isso pois percebi que a range de ips é enorme e muitos pela minha experiencia não cheguei a ver em uso (porém não sou expert nisso)
Segue a lista que estou usando (como disse peguei do firewall do Silvio e ainda estou testando)
177.0.0.0/255.224.0.0 177.32.0.0/255.224.0.0 177.64.0.0/255.224.0.0 177.96.0.0/255.224.0.0 177.128.0.0/255.224.0.0 177.160.0.0/255.224.0.0 177.192.0.0/255.224.0.0 179.160.0.0/255.224.0.0 179.192.0.0/255.224.0.0 179.224.0.0/255.224.0.0 186.192.0.0/255.224.0.0 186.224.0.0/255.224.0.0 187.0.0.0/255.224.0.0 187.32.0.0/255.224.0.0 187.64.0.0/255.224.0.0 187.96.0.0/255.224.0.0 189.0.0.0/255.224.0.0 189.32.0.0/255.224.0.0 189.64.0.0/255.224.0.0 189.96.0.0/255.224.0.0 200.17.0.0/255.255.0.0 200.18.0.0/255.254.0.0 200.20.0.0/255.255.0.0 200.96.0.0/255.248.0.0 200.128.0.0/255.128.0.0 201.0.0.0/255.240.0.0 201.16.0.0/255.240.0.0 201.32.0.0/255.240.0.0 201.48.0.0/255.240.0.0 201.64.0.0/255.224.0.0 Obrigado Em 15-07-2013 14:16, Mike Tesliuk escreveu:
você poderia nos mostrar quais foram os blocos que você utilizou ? ai eu te digo se há ou não problema com sua regra , a questao é que você pode ter blocos no meio.Como exemplo, voce tem a faixa de ip 177 e 179 que sao BR (nao completas), e a faixa 178 que é usada na alemanha, e talvez algum outro lugar mais (nao verifiquei onde mais)Em 15/07/13 12:31, Patrick EL Youssef escreveu:Desculpe Mike,Mas não entendi qual o problema da lista menor até porque eu liberarei apenas estes ips bloqueando todo o restoPatrick Em 15-07-2013 13:26, Mike Tesliuk escreveu:Desculpe companheiro, mas sumarizar nao é a solução, esta é a lista oficial dos IPs, se você quer ter uma regra correta voce deve usar algo deste formato, e vai por mim, isso nao muda com tanta frequencia assim.O tempo que você diz que demora é o tempo pra montar a lista, mas voce nao precisa carregar isso cada vez que voce faz um reload no firewall, voce monta um arquivo e le o arquivo junto com seu firewallEm 15/07/13 11:19, Patrick EL Youssef escreveu:Eu fiz uns testes já com essa porem só pra carregar o firewall leva um bom tempoUm colega ai da lista o SIlvio Garbes postou um firewall com uma lista de ips do Brasil bem menorEstarei tentando ela para ver Obrigado Mike Em 15-07-2013 12:01, Mike Tesliuk escreveu:Este script pega a lista e gera um arquivo (ou ruleset do iptables) para você, ele baixa a lista da lacnic cada vez que executa, entao se houver alguma modificação voce atualizaEx de uso: sh nome_do_script BREle vai perguntar a area, voce responde america latina, e o tipo que voce quer, se é a lista ou o ruleset, ele ta com um erro na expressao regular que ele nao ta deixando apenas o bloco, mas ai voce limpa facil com sed ou cut, se alguem quiser corrigir (nao to com tempo neste momento) manda a correção pra lista.PS: não sei quem é o autor, peguei uma vez na internet isso ai #!/bin/bash REV="$Revision: 4 $" VERSION="0.1" RELEASE=`echo ${REV} | awk '{ print $2}'` # Arg. check if [ "${1}" = "" ]; then echo `basename ${0}`," v.${VERSION}.${RELEASE}" echo "Usage Error: missing arguments" echo "" echo " Usage: ${0} <country code>"echo " Country codes available at http://www.maxmind.com/app/iso3166"echo "" exit else# too lazy to work on a script that will download from the right server regarding what has been passed at the prompt :p# http://en.wikipedia.org/wiki/RIPE_Network_Coordination_Centre echo "The country specified belongs to :" echo "1. Africa" echo "2. Asia/Pacific" echo "3. America" echo "4. Latin America/Caribbean" echo "5. Europe" echo "" echo -n "Your zone : " read ZONE echo "" echo "What kind of list do you want to generate ?" echo "1. A list of blocks : simple list, 1 block per line"echo "2. Iptables rulesets : you can set what comes before and after the blocks"echo "" echo -n "Please make your choice [1/2] : " read LISTRULE if [ "${LISTRULE}" = "2" ]; thenecho "Please specify the prefix rule (e.g. : iptables -A INPUT -s)"read PRERULE echo "Specify the postfix rule (e.g. : -j DROP)" read POSTRULE fi# Afrinic (afrinic.net) : ftp://ftp.apnic.net/public/stats/afrinic/delegated-afrinic-latest # Apnic (apnic.net) : ftp://ftp.apnic.net/public/stats/apnic/assigned-apnic-latest # Arin (arin.net) : ftp://ftp.apnic.net/public/stats/arin/delegated-arin-latest # Lacnic (lacnic.net) : ftp://ftp.apnic.net/public/stats/lacnic/delegated-lacnic-latest # Ripe (ripe.net) : ftp://ftp.apnic.net/public/stats/ripe-ncc/delegated-ripencc-latestLINK="ftp://ftp.apnic.net/public/stats/" if [ "${ZONE}" = "1" ]; then FILE="afrinic/delegated-afrinic-latest" elif [ "${ZONE}" = "2" ]; then FILE="apnic/assigned-apnic-latest" elif [ "${ZONE}" = "3" ]; then FILE="arin/delegated-arin-latest" elif [ "${ZONE}" = "4" ]; then FILE="lacnic/delegated-lacnic-latest" elif [ "${ZONE}" = "5" ]; then FILE="ripe-ncc/delegated-ripencc-latest" fi TMP="/tmp" COUNTRY=${1} OUT="${TMP}/blocks-${COUNTRY}" cd ${TMP} echo "" echo "Download :"/usr/bin/wget -v --progress=bar ${LINK}/${FILE} -O ${TMP}/db_${COUNTRY}echo "" rm -f ${OUT} for country in ${COUNTRY} doIPS=`cat ${TMP}/db_${COUNTRY} | grep "${country}" | egrep '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sed -re "s/(ripencc\||${country}|\|ipv(4|6)\||\|allocated|\|assigned|\|(199|200)[0-9]{5})//g;s/\|128/\/25/;s/\|256/\/24/;s/\|512/\/23/;s/\|1024/\/22/;s/\|2048/\/21/;s/\|4096/\/20/;s/\|8192/\/19/;s/\|16384/\/18/;s/\|32768/\/17/;s/\|65536/\/16/;s/\|131072/\/15/;s/\|262144/\/14/;s/\|524288/\/13/;s/\|1048576/\/12/;s/\|2097152/\/11/;s/\|4194304/\/10/;s/\|8388608/\/9/;s/\|16777216/\/8/"`for ips in ${IPS} do if [ "${LISTRULE}" = "2" ]; then echo "${PRERULE} ${ips} ${POSTRULE}" >> ${OUT} else echo "${ips}" >> ${OUT} fi done done echo "Block list saved as ${OUT}" echo "" rm -f ${FILE} fi Em 15/07/13 10:55, Mike Tesliuk escreveu:Aqui tem um exemplo pra bloquear um pais, é só inverter a logica e voce tem a liberação do pais e bloqueio do restohttp://www.cyberciti.biz/faq/block-entier-country-using-iptables/ Em 15/07/13 10:20, Patrick EL Youssef escreveu:Caio Pode postar a regra do firewall que usa pra bloquear esses ips? Valeu Em 15-07-2013 11:01, Caio Pato escreveu:On Sun, Jul 14, 2013 at 10:47 PM, asteriskdebian asterisk <asteriskdebian2...@gmail.com> wrote:uso FAIL2BAN como firewall!!fail2ban não está mais sendo "eficiente" porque esses pulhas estão fazendo um "slow scan" (na realidade, "slow attempt") nas redes,.Antigamente eles despejavam 120 chamadas por vez. Testavam todos os códigos possíveis (0021, 0015, 0031, 00031, 90031, 900031...) de uma vez só. Agora, já mais "espertos", eles fazem apenas CINCO tentativaspor HORA, quando não fazem apenas quatro por hora, ao longo das 24horas do dia. Eles tem todo o tempo da vida, porque quando conseguiremdescobrir um buraco no seu dialplan, vão entupir de chamadas para países árabes e da África. Assim, não dá mais para confiar APENAS no fail2ban - é um método ultrapassado de proteção. Não sei qual é a sua utilização do servidor (provedor? usuário?corporativo?) mas a dica básica é: NÃO DEIXE FUROS no seu dialplan.A ligação teste é *SEMPRE* feita para alguns telefones: um celular emTel Aviv (Israel) ou um telefone virtual em Londres (Inglaterra).NÃO ADIANTA FICAR BLOQUEANDO IP POR IP. Eles mudam de ip a cada dia -geralmente usando máquinas VPS, cujo IP não é dele MUITO menos do servidor que efetivamente enviará as chamadas. Aqui (por sercorporativo hospedado em datacenter) eu decidi bloquear geralmente o /8 do IP de origem. Resolve, mas eles sempre acham algum outro blocolivre.Assim, resta apenas a solução de TER CERTEZA QUE NÃO TEM BURACOS nodialplan e... monitorar a rede. Procure uma mensagem aqui na lista com o mesmo problema há alguns meses. Um colega da lista foi "invadido" por esses pulhas e quemdetectou foi a área de segurança da empresa de telefonia - mas só nodia seguinte da invasão... Ai o estrago já era grande demais. Conclusão:1) NÃO ADIANTA BLOQUEAR IP POR IP - perda de tempo. Ou você bloqueialogo o bloco (/16 ou /8) ou relaxa... 2) Veja seu dialplan: não permita códigos mágicos, nem cadeados a partir da rede externa;3) Olhe seu log com frequência - procure por chamadas para um celularem Israel (9725) ou Palestina (970);4) Crie um script para enviar todas as madrugadas o logo de todas as chamadas. Vai ajudar a achar eventuais tentativas de invasão - mesmoque tardias, mas ajuda. _______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com._______________________________________________ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscr...@listas.asteriskbrasil.org_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org