Guilherme e outros amigos que tenha realmente a necessidade de ter um IP válido no seu asterisk use o seguinte firewall...
#!/bin/bash REDE_OPERADORA="X.X.X.X/32" REDE_INTERNA="192.168.1.0/24" IFLOOPBACK="lo" IFWAN="eth0" IFLAN="eth1" # [ CRIA NOVAS CHAINS ] iptables -N OPERADORA iptables -N LAN # [ LIMPA TABELAS E CHAINS ] iptables -F iptables -F OPERADORA iptables -F LAN # [ INSERIR CHAINS NAS TABELAS ] iptables -A INPUT -j OPERADORA iptables -A INPUT -j LAN # [ MODIFICA POLITICAS DE ACESSO ] iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #---------------------------- [ INICIO TABELA LAN ] ---------------------------# # LIBERA LOOPBACK iptables -A INPUT -i $IFLOOPBACK -j ACCEPT #---------------------------- [ INICIO TABELA LAN ] ---------------------------# # LIBERA REDE LOCAL iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT #---------------------------- [ INICIO TABELA OPERADORA ] ---------------------------# # LIBERA CONSULTA DNS GOOGLE iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT # LIBERA ASTERISK OPERADORA iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 -j ACCEPT iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 -j ACCEPT # LIBERA RTP OPERADORA iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m multiport --dport 10000:65535 -j ACCEPT OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua operadora e seu PABX utilizam para aumentar a segurança! OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu banco de dados mysql ou qualquer liberado para fora, não deixar a porta do manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER 100% confiavel... E Deixar um Range de IP´S apenas do BR liberado na minha visão, é deixar um rombo no seu firewall!! Bloquei tudo libere para quem tem acesso! Para ter um logo melhor procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com os logs de portas etc... "CUIDADO com o log pois poderás ter problema dependendo a ação tomada" OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso algum provedor utilize dominio ao invéis de IP. OBS4: Criamos Subtabelas de entrada apenas para quesito de organização do firewall e visualização melhor.. mais pode ser substituidos tudo por INPUT ;) Abraço. Em 24 de setembro de 2013 11:26, jefaokpta <jefaok...@hotmail.com> escreveu: > Obrigado por compartilhar Guilherme. > > Em 24-09-2013 09:32, Guilherme Rezende escreveu: > > #!/bin/bash > > ipt=/sbin/iptables > > $ipt -F > > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT > > $ipt -A INPUT -i eth2 -p udp -j DROP > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > -- Thiago Anselmo
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org