Thiago, seria interessante. Se puder contribuir mais, agradecemos.
Em 24 de setembro de 2013 12:05, Thiago Anselmo <thiagoo.ansel...@gmail.com>escreveu: > Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a > chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar > passar! > > ;) > > Caso queiram posso fazer um mais elaborado e também com uma interface > gráfica para o shell usando, xdialog! > > > > Em 24 de setembro de 2013 12:00, Elieser Junior <zeljun...@gmail.com>escreveu: > > Muito bom Thiago, parabéns pela iniciativa. >> >> >> >> Em 24 de setembro de 2013 11:59, Thiago Anselmo < >> thiagoo.ansel...@gmail.com> escreveu: >> >> Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não >>> IFGLOBAL... >>> >>> >>> >>> Em 24 de setembro de 2013 11:57, Thiago Anselmo < >>> thiagoo.ansel...@gmail.com> escreveu: >>> >>> >>>> >>>> Guilherme e outros amigos que tenha realmente a necessidade de ter um >>>> IP válido no seu asterisk use o seguinte firewall... >>>> >>>> #!/bin/bash >>>> >>>> REDE_OPERADORA="X.X.X.X/32" >>>> REDE_INTERNA="192.168.1.0/24" >>>> >>>> IFLOOPBACK="lo" >>>> IFWAN="eth0" >>>> IFLAN="eth1" >>>> >>>> >>>> # [ CRIA NOVAS CHAINS ] >>>> >>>> iptables -N OPERADORA >>>> iptables -N LAN >>>> >>>> # [ LIMPA TABELAS E CHAINS ] >>>> >>>> iptables -F >>>> iptables -F OPERADORA >>>> iptables -F LAN >>>> >>>> # [ INSERIR CHAINS NAS TABELAS ] >>>> >>>> iptables -A INPUT -j OPERADORA >>>> iptables -A INPUT -j LAN >>>> >>>> # [ MODIFICA POLITICAS DE ACESSO ] >>>> >>>> iptables -P INPUT DROP >>>> iptables -P FORWARD DROP >>>> iptables -P OUTPUT ACCEPT >>>> >>>> >>>> #---------------------------- [ INICIO TABELA LAN ] >>>> ---------------------------# >>>> >>>> # LIBERA LOOPBACK >>>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT >>>> >>>> #---------------------------- [ INICIO TABELA LAN ] >>>> ---------------------------# >>>> >>>> # LIBERA REDE LOCAL >>>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT >>>> >>>> #---------------------------- [ INICIO TABELA OPERADORA ] >>>> ---------------------------# >>>> >>>> # LIBERA CONSULTA DNS GOOGLE >>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT >>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT >>>> >>>> # LIBERA ASTERISK OPERADORA >>>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 >>>> -j ACCEPT >>>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 >>>> -j ACCEPT >>>> >>>> # LIBERA RTP OPERADORA >>>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m >>>> multiport --dport 10000:65535 -j ACCEPT >>>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m >>>> multiport --dport 10000:65535 -j ACCEPT >>>> >>>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que sua >>>> operadora e seu PABX utilizam para aumentar a segurança! >>>> >>>> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto >>>> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu >>>> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do >>>> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER >>>> 100% confiavel... E Deixar um Range de IP´S apenas do BR liberado na minha >>>> visão, é deixar um rombo no seu firewall!! >>>> >>>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor >>>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com >>>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema >>>> dependendo a ação tomada" >>>> >>>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso >>>> algum provedor utilize dominio ao invéis de IP. >>>> >>>> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização >>>> do firewall e visualização melhor.. mais pode ser substituidos tudo por >>>> INPUT ;) >>>> >>>> Abraço. >>>> >>>> >>>> Em 24 de setembro de 2013 11:26, jefaokpta <jefaok...@hotmail.com>escreveu: >>>> >>>> Obrigado por compartilhar Guilherme. >>>>> >>>>> Em 24-09-2013 09:32, Guilherme Rezende escreveu: >>>>> > #!/bin/bash >>>>> > ipt=/sbin/iptables >>>>> > $ipt -F >>>>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT >>>>> > $ipt -A INPUT -i eth2 -p udp -j DROP >>>>> >>>>> _______________________________________________ >>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>>> www.Khomp.com. >>>>> _______________________________________________ >>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>>> _______________________________________________ >>>>> Para remover seu email desta lista, basta enviar um email em branco >>>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>>> >>>> >>>> >>>> >>>> -- >>>> Thiago Anselmo >>>> >>> >>> >>> >>> -- >>> Thiago Anselmo >>> >>> _______________________________________________ >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>> www.Khomp.com. >>> _______________________________________________ >>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>> _______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > > > -- > Thiago Anselmo > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org