Asterisk 1.8 na nuvem, máquina com IP público 201.X.X.X. utilizo Debian Wheezy. Em 24/09/2013 12:19, "Thiago Anselmo" <thiagoo.ansel...@gmail.com> escreveu:
> me digam qual seus cenários. > > > Em 24 de setembro de 2013 12:13, Elieser Junior <zeljun...@gmail.com>escreveu: > >> Thiago, seria interessante. >> >> Se puder contribuir mais, agradecemos. >> >> >> >> Em 24 de setembro de 2013 12:05, Thiago Anselmo < >> thiagoo.ansel...@gmail.com> escreveu: >> >>> Se tiveres um IP FIXO no seu PABX liberando apenas para sua operadora a >>> chance de ataque diminui 99% pois o resto nem um pacote ICMP vai deixar >>> passar! >>> >>> ;) >>> >>> Caso queiram posso fazer um mais elaborado e também com uma interface >>> gráfica para o shell usando, xdialog! >>> >>> >>> >>> Em 24 de setembro de 2013 12:00, Elieser Junior >>> <zeljun...@gmail.com>escreveu: >>> >>> Muito bom Thiago, parabéns pela iniciativa. >>>> >>>> >>>> >>>> Em 24 de setembro de 2013 11:59, Thiago Anselmo < >>>> thiagoo.ansel...@gmail.com> escreveu: >>>> >>>> Cometi um erro na liberação do RTP/DNS a interface correta é IFWAN e >>>>> não IFGLOBAL... >>>>> >>>>> >>>>> >>>>> Em 24 de setembro de 2013 11:57, Thiago Anselmo < >>>>> thiagoo.ansel...@gmail.com> escreveu: >>>>> >>>>> >>>>>> >>>>>> Guilherme e outros amigos que tenha realmente a necessidade de ter um >>>>>> IP válido no seu asterisk use o seguinte firewall... >>>>>> >>>>>> #!/bin/bash >>>>>> >>>>>> REDE_OPERADORA="X.X.X.X/32" >>>>>> REDE_INTERNA="192.168.1.0/24" >>>>>> >>>>>> IFLOOPBACK="lo" >>>>>> IFWAN="eth0" >>>>>> IFLAN="eth1" >>>>>> >>>>>> >>>>>> # [ CRIA NOVAS CHAINS ] >>>>>> >>>>>> iptables -N OPERADORA >>>>>> iptables -N LAN >>>>>> >>>>>> # [ LIMPA TABELAS E CHAINS ] >>>>>> >>>>>> iptables -F >>>>>> iptables -F OPERADORA >>>>>> iptables -F LAN >>>>>> >>>>>> # [ INSERIR CHAINS NAS TABELAS ] >>>>>> >>>>>> iptables -A INPUT -j OPERADORA >>>>>> iptables -A INPUT -j LAN >>>>>> >>>>>> # [ MODIFICA POLITICAS DE ACESSO ] >>>>>> >>>>>> iptables -P INPUT DROP >>>>>> iptables -P FORWARD DROP >>>>>> iptables -P OUTPUT ACCEPT >>>>>> >>>>>> >>>>>> #---------------------------- [ INICIO TABELA LAN ] >>>>>> ---------------------------# >>>>>> >>>>>> # LIBERA LOOPBACK >>>>>> iptables -A INPUT -i $IFLOOPBACK -j ACCEPT >>>>>> >>>>>> #---------------------------- [ INICIO TABELA LAN ] >>>>>> ---------------------------# >>>>>> >>>>>> # LIBERA REDE LOCAL >>>>>> iptables -A LAN -i $IFLAN -s $REDE_INTERNA -j ACCEPT >>>>>> >>>>>> #---------------------------- [ INICIO TABELA OPERADORA ] >>>>>> ---------------------------# >>>>>> >>>>>> # LIBERA CONSULTA DNS GOOGLE >>>>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.8.8 --dport 53 -j ACCEPT >>>>>> iptables -A OPERADORA -i $IFGLOBAL -s 8.8.4.4 --dport 53 -j ACCEPT >>>>>> >>>>>> # LIBERA ASTERISK OPERADORA >>>>>> iptables -A OPERADORA -i $IFWAN -p udp -s $REDE_OPERADORA --dport >>>>>> 5060 -j ACCEPT >>>>>> iptables -A OPERADORA -i $IFWAN -p tcp -s $REDE_OPERADORA --dport >>>>>> 5060 -j ACCEPT >>>>>> >>>>>> # LIBERA RTP OPERADORA >>>>>> iptables -A OPERADORA -i $IFGLOBAL -p udp -s $REDE_OPERADORA -m >>>>>> multiport --dport 10000:65535 -j ACCEPT >>>>>> iptables -A OPERADORA -i $IFGLOBAL -p tcp -s $REDE_OPERADORA -m >>>>>> multiport --dport 10000:65535 -j ACCEPT >>>>>> >>>>>> OBS: Vale lembrar que na parte RTP você libera apenas as portas que >>>>>> sua operadora e seu PABX utilizam para aumentar a segurança! >>>>>> >>>>>> OBS2: Como já falado varias e varias vezes, nunca utilizar os >>>>>> contexto DEFAULT, nunca usar senhas fracas se possível usar MD5, nunca >>>>>> deixar seu banco de dados mysql ou qualquer liberado para fora, não >>>>>> deixar >>>>>> a porta do manager do asterisk liberada para fora.. FAIL2BAN NÂO È >>>>>> SEGURANÇA A SER 100% confiavel... E Deixar um Range de IP´S apenas do BR >>>>>> liberado na minha visão, é deixar um rombo no seu firewall!! >>>>>> >>>>>> Bloquei tudo libere para quem tem acesso! Para ter um logo melhor >>>>>> procurem na NET -j LOG ou se quiserem posso fazer um mais detalhado e com >>>>>> os logs de portas etc... "CUIDADO com o log pois poderás ter problema >>>>>> dependendo a ação tomada" >>>>>> >>>>>> OBS3: Liberamos o IP DNS do google para fazer consultas DNS pois caso >>>>>> algum provedor utilize dominio ao invéis de IP. >>>>>> >>>>>> OBS4: Criamos Subtabelas de entrada apenas para quesito de >>>>>> organização do firewall e visualização melhor.. mais pode ser >>>>>> substituidos >>>>>> tudo por INPUT ;) >>>>>> >>>>>> Abraço. >>>>>> >>>>>> >>>>>> Em 24 de setembro de 2013 11:26, jefaokpta >>>>>> <jefaok...@hotmail.com>escreveu: >>>>>> >>>>>> Obrigado por compartilhar Guilherme. >>>>>>> >>>>>>> Em 24-09-2013 09:32, Guilherme Rezende escreveu: >>>>>>> > #!/bin/bash >>>>>>> > ipt=/sbin/iptables >>>>>>> > $ipt -F >>>>>>> > $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT >>>>>>> > $ipt -A INPUT -i eth2 -p udp -j DROP >>>>>>> >>>>>>> _______________________________________________ >>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>>>>> www.Khomp.com. >>>>>>> _______________________________________________ >>>>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>>>>> _______________________________________________ >>>>>>> Para remover seu email desta lista, basta enviar um email em branco >>>>>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>>>>> >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> Thiago Anselmo >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Thiago Anselmo >>>>> >>>>> _______________________________________________ >>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>>> www.Khomp.com. >>>>> _______________________________________________ >>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>>> _______________________________________________ >>>>> Para remover seu email desta lista, basta enviar um email em branco >>>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>>> >>>> >>>> >>>> _______________________________________________ >>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>>> www.Khomp.com. >>>> _______________________________________________ >>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>>> _______________________________________________ >>>> Para remover seu email desta lista, basta enviar um email em branco >>>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>>> >>> >>> >>> >>> -- >>> Thiago Anselmo >>> >>> _______________________________________________ >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>> www.Khomp.com. >>> _______________________________________________ >>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>> _______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > > > -- > Thiago Anselmo > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
