me digam qual seus cenários.
Em 24 de setembro de 2013 12:13, Elieser Junior <zeljun...@gmail.com>escreveu: > Thiago, seria interessante. > > Se puder contribuir mais, agradecemos. > > > > Em 24 de setembro de 2013 12:05, Thiago Anselmo < > thiagoo.ansel...@gmail.com> escreveu: > >> Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a >> chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar >> passar! >> >> ;) >> >> Caso queiram posso fazer um mais elaborado e também com uma interface >> gráfica para o shell usando, xdialog! >> >> >> >> Em 24 de setembro de 2013 12:00, Elieser Junior >> <zeljun...@gmail.com>escreveu: >> >> Muito bom Thiago, parabéns pela iniciativa. >>> >>> >>> >>> Em 24 de setembro de 2013 11:59, Thiago Anselmo < >>> thiagoo.ansel...@gmail.com> escreveu: >>> >>> Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e não >>>> IFGLOBAL... >>>> >>>> >>>> >>>> Em 24 de setembro de 2013 11:57, Thiago Anselmo < >>>> thiagoo.ansel...@gmail.com> escreveu: >>>> >>>> >>>>> >>>>> Guilherme e outros amigos que tenha realmente a necessidade de ter um >>>>> IP válido no seu asterisk use o seguinte firewall... >>>>> >>>>> #!/bin/bash >>>>> >>>>> REDE_OPERADORA="X.X.X.X/32" >>>>> REDE_INTERNA="192.168.1.0/24" >>>>> >>>>> IFLOOPBACK="lo" >>>>> IFWAN="eth0" >>>>> IFLAN="eth1" >>>>> >>>>> >>>>> # [ CRIA NOVAS CHAINS ] >>>>> >>>>> iptables -N OPERADORA >>>>> iptables -N LAN >>>>> >>>>> # [ LIMPA TABELAS E CHAINS ] >>>>> >>>>> iptables -F >>>>> iptables -F OPERADORA >>>>> iptables -F LAN >>>>> >>>>> # [ INSERIR CHAINS NAS TABELAS ] >>>>> >>>>> iptables -A INPUT -j OPERADORA >>>>> iptables -A INPUT -j LAN >>>>> >>>>> # [ MODIFICA POLITICAS DE ACESSO ] >>>>> >>>>> iptables -P INPUT DROP >>>>> iptables -P FORWARD DROP >>>>> iptables -P OUTPUT ACCEPT >>>>> >>>>> >>>>> #---------------------------- [ INICIO TABELA LAN ] >>>>> ---------------------------# >>>>> >>>>> # LIBERA LOOPBACK >>>>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT >>>>> >>>>> #---------------------------- [ INICIO TABELA LAN ] >>>>> ---------------------------# >>>>> >>>>> # LIBERA REDE LOCAL >>>>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT >>>>> >>>>> #---------------------------- [ INICIO TABELA OPERADORA ] >>>>> ---------------------------# >>>>> >>>>> # LIBERA CONSULTA DNS GOOGLE >>>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT >>>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT >>>>> >>>>> # LIBERA ASTERISK OPERADORA >>>>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport 5060 >>>>> -j ACCEPT >>>>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport 5060 >>>>> -j ACCEPT >>>>> >>>>> # LIBERA RTP OPERADORA >>>>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m >>>>> multiport --dport 10000:65535 -j ACCEPT >>>>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m >>>>> multiport --dport 10000:65535 -j ACCEPT >>>>> >>>>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que >>>>> sua operadora e seu PABX utilizam para aumentar a segurança! >>>>> >>>>> OBS2: Como já falado varias e varias vezes, nunca utilizar os contexto >>>>> DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca deixar seu >>>>> banco de dados mysql ou qualquer liberado para fora, não deixar a porta do >>>>> manager do asterisk liberada para fora.. FAIL2BAN NÂO È SEGURANÇA A SER >>>>> 100% confiavel... E Deixar um Range de IP´S apenas do BR liberado na >>>>> minha >>>>> visão, é deixar um rombo no seu firewall!! >>>>> >>>>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor >>>>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com >>>>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema >>>>> dependendo a ação tomada" >>>>> >>>>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso >>>>> algum provedor utilize dominio ao invéis de IP. >>>>> >>>>> OBS4: Criamos Subtabelas de entrada apenas para quesito de organização >>>>> do firewall e visualização melhor.. mais pode ser substituidos tudo por >>>>> INPUT ;) >>>>> >>>>> Abraço. >>>>> >>>>> >>>>> Em 24 de setembro de 2013 11:26, jefaokpta >>>>> <jefaok...@hotmail.com>escreveu: >>>>> >>>>> Obrigado por compartilhar Guilherme. >>>>>> >>>>>> Em 24-09-2013 09:32, Guilherme Rezende escreveu: >>>>>> > #!/bin/bash >>>>>> > ipt=/sbin/iptables >>>>>> > $ipt -F >>>>>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT >>>>>> > $ipt -A INPUT -i eth2 -p udp -j DROP >>>>>> >>>>>> _______________________________________________ >>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>>>> www.Khomp.com. >>>>>> _______________________________________________ >>>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>>>> _______________________________________________ >>>>>> Para remover seu email desta lista, basta enviar um email em branco >>>>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Thiago Anselmo >>>>> >>>> >>>> >>>> >>>> -- >>>> Thiago Anselmo >>>> >>>> _______________________________________________ >>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>> www.Khomp.com. >>>> _______________________________________________ >>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>> _______________________________________________ >>>> Para remover seu email desta lista, basta enviar um email em branco >>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>> >>> >>> >>> _______________________________________________ >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>> www.Khomp.com. >>> _______________________________________________ >>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>> _______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >> >> >> >> -- >> Thiago Anselmo >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > -- Thiago Anselmo
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
