Mike Eu utilizo este script, não uso ele pro Asterisk, você só tem que incluir as portas do Asterisk logo depois do "iptables -P OUTPUT DROP". É só incluir quantas linhas precisar com o ip de origem e a porta(iptables -A INPUT -p tcp -s 192.168.1.2 --dport 8080 -j ACCEPT):
#!/bin/bash ## FIREWALL ## #IPS=`cat /opt/firewall/ips.txt` ### Bloquear ataque DDos echo 1 > /proc/sys/net/ipv4/tcp_syncookies ### Habilita o reencaminhamento de pacotes TCP/UDP #echo 1 > /proc/sys/net/ipv4/ip_forward ### Limpar tabelas iptables iptables -F iptables -X ## iptables -P INPUT DROP iptables -P OUTPUT DROP ### Aceita conexoes SSH na porta 22 iptables -A INPUT -p tcp -s 192.168.1.1 --dport 22 -j ACCEPT ### Aceita requisicoes HTTP na porta 8080 iptables -A INPUT -p tcp -s 192.168.1.2 --dport 8080 -j ACCEPT ### Aceita requisicoes em loopback iptables -A INPUT -i lo -j ACCEPT ### Protecao contra port scanners ocultos iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT ### Bloqueando tracertroute iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP ### Aceita passagem de pacotes de conexoes ja estabelecidas ou secundarias iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ###OUTPUT iptables -P OUTPUT ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ###FIM Att, *Rafael dos Santos Saraiva* Tel: (51) 8174-7956 *Digium Certified Asterisk Administrator (dCCA)* http://www.astdocs.com | <http://br.linkedin.com/pub/rafael-saraiva/52/aab/230> Em 25 de julho de 2013 17:29, Mike <mikeed...@hotmail.com> escreveu: > ** ** > > *Senhores!* > > ** ** > > Andei pesquisando no google e nos sites em que abriu.**** > > Não tive muito sucesso na instalação do fail2ban ainda mas sofro com > várias tentativas de invasão.**** > > Tenho uma central pabx com centos instalada nela e 2 filiais conectadas > nela. Gostaria da ajuda para saber**** > > Como faço para bloquear no iptables todos e quaisquer outro acesso, > liberando apenas os ips que tenho nas filiais.**** > > Não tenho muitas habilidades, mas tentei bloquear tudo com o comando**** > > *iptables -P INPUT DROP* > > *iptables -P OUTPUT DROP* > > *iptables -P FORWARD DROP***** > > ** ** > > Mas não consegui acesso mais das filiais na central.**** > > ** ** > > Estou usando a seguinte regra no momento...**** > > ** ** > > # Firewall configuration written by system-config-firewall**** > > # Manual customization of this file is not recommended.**** > > *filter**** > > :INPUT ACCEPT [0:0]**** > > :FORWARD ACCEPT [0:0]**** > > :OUTPUT ACCEPT [0:0]**** > > -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT**** > > -A INPUT -p icmp -j ACCEPT**** > > -A INPUT -i lo -j ACCEPT**** > > ** ** > > -A INPUT -s 222.111.232.242 -j DROP**** > > -A INPUT -s 222.39.89.179 -j DROP**** > > -A INPUT -s 173.242.117.162 -j DROP**** > > -A INPUT -s 184.154.106.2 -j DROP**** > > -A INPUT -s 216.244.89.19 -j DROP**** > > -A INPUT -s 196.14.16.190 -j DROP**** > > -A INPUT -s 91.218.229.42 -j DROP**** > > -A INPUT -s 85.25.100.41 -j DROP**** > > -A INPUT -s 211.144.65.17 -j DROP**** > > -A INPUT -s 198.143.187.146 -j DROP **** > > -A INPUT -s 5.9.193.195 -j DROP**** > > -A INPUT -s 5.9.199.173 -j DROP**** > > -A INPUT -s 5.9.193.197 -j DROP**** > > -A INPUT -s 91.229.220.20 -j DROP**** > > -A INPUT -s 198.143.175.2 -j DROP**** > > -A INPUT -s 211.144.65.17 -j DROP**** > > ** ** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT**** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT**** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 25322 -j ACCEPT**** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 25380 -j ACCEPT**** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT**** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT**** > > -A INPUT -m state --state NEW -m tcp -p tcp --dport 5038:5039 -j ACCEPT*** > * > > -A INPUT -m state --state NEW -m udp -p udp --dport 1:65535 -j ACCEPT**** > > ** ** > > -A INPUT -j REJECT --reject-with icmp-host-prohibited**** > > -A FORWARD -j REJECT --reject-with icmp-host-prohibited**** > > COMMIT**** > > ** ** > > Agradeço se alguém puder ajudar.**** > > ** ** > > Grato.**** > > ** ** > > Mike.**** > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
