Boa Tarde
Cara, eu uso esse script para instalar nos meus servidores. Em todos os
meus funcionam
apt-get -y install fail2ban
echo [asterisk-iptables] /etc/fail2ban/jail.conf
echo enabled = true /etc/fail2ban/jail.conf
echo filter = asterisk /etc/fail2ban/jail.conf
echo action =
Se for asterisk 1.8
http://tuxmarcial.blogspot.com.br/2013/02/fail2ban-no-asterisk-18.html
Em 28-03-2013 17:23, André Luis Ribeiro escreveu:
Boa Tarde
Cara, eu uso esse script para instalar nos meus servidores. Em todos
os meus funcionam
apt-get -y install fail2ban
echo [asterisk-iptables]
Ozeas, é exatamente isso que está ocorrendo aqui. Raras vezes bloqueia, e isso
depois de muitas tentativas.
Vou mudar as portas SIP, realmente normalmente fico no range 506X, passarei
para uma porta mais alta.
Obrigado pela lembrança.
João Queiroz
Em 04/01/2011, às 22:57, Oseias Ferreira
Tenho feito isso no IP tables, embora tenha feito por IP individual e não por
range. Tentei conseguir qual o range de IPs do Brasil, sem sucesso.
Alguém teria essa informação? Assim liberaria apenas o range de IP brasileiro,
diminuiria muito os ataques. Tenho visto que estão partindo da:
Em 05/01/2011, às 12:18, João Marcelo Queiroz escreveu:
Tenho feito isso no IP tables, embora tenha feito por IP individual
e não por range. Tentei conseguir qual o range de IPs do Brasil, sem
sucesso.
Alguém teria essa informação? Assim liberaria apenas o range de IP
brasileiro,
Leandro,
tem uma pequena diferença de sintaxe, no seu asterisk.conf existe o .. (ponto
ponto) e no meu não (utilizo o apóstrofo ' ) , segue o meu para comparação:
failregex = NOTICE.* .*: Registration from '.*' failed for 'HOST' - Wrong
password
NOTICE.* .*: Registration from '.*'
Pessoal,
alguém já viu esta página?
http://www.fail2ban.org/wiki/index.php/Asterisk
The first line is from /var/log/asterisk/messages, which is written by
asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp
that is enclosed in brackets.
Fiz um teste usando o syslog, cf.
@listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Data: Wed, 5 Jan 2011 12:23:57 +
Em 05/01/2011, às 12:18, João Marcelo Queiroz escreveu:
Tenho feito isso no IP tables, embora tenha feito por IP individual
e não por range. Tentei conseguir qual o range de IPs do Brasil
José Maria,
eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo.
Segue meu jail.conf
...
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=...@xxx,
original
De: Oseias Ferreira ferreira.ose...@gmail.com
Responder a: asteriskbrasil@listas.asteriskbrasil.org
Para: asteriskbrasil@listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Data: Wed, 5 Jan 2011 12:23:57 +
Em 05/01/2011, às 12:18, João
João Marcelo,
No teu jail.conf, esta apontando o logpath para /var/log/messages,
o seu log do asterisk provavelmente não é gerado nesta path, e sim:
/var/log/asterisk/messages (ou o que estiver configurado no logger.conf)
O (..) é somente para ler o que vier antes do informado na entrada no log
: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Data: Wed, 5 Jan 2011 10:12:08 -0300
Rodrigo,
se eu não gostasse de mulher, casava contigo hoje!! :)
Valeu!!
João Queiroz
Em 05/01/2011, às 10:01, Rodrigo Vian escreveu:
Para descobrir as faixas de IP do Brasil
http://lacnic.net/cgi
Mas meu logger.conf tá:
[logfiles]
syslog.local0 = notice
Comentei a linha:
; dateformat=%F %T
Pois já que não estava tendo resultado da maneira padrão (usando o logpath =
/var/log/asterisk/full), tentei dessa forma.
Abs,
João Queiroz
Em 05/01/2011, às 10:16, leandro alves escreveu:
João
- Descomente o dateformat
- Inclua a linha
fail2ban = notice
- Altere no seu jail.conf:
logpath = /var/log/asterisk/fail2ban
Em 5 de janeiro de 2011 11:40, João Marcelo Queiroz j...@bol.com.brescreveu:
Mas meu logger.conf tá:
[logfiles]
syslog.local0 = notice
Comentei a linha:
;
João marcelo,
me desculpe a pergunta, mas a facility local0 não pode estar sendo gravada
em outro arquivo? Verificou o syslog.conf?
[]'s,
José Maria.
echo qvzl5thyph5qyGnthps5jvt | perl -pe 's/(.)/chr(ord($1)-7)/ge'
2011/1/5 João Marcelo Queiroz j...@bol.com.br
Mas meu logger.conf tá:
@listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
João marcelo,
me desculpe a pergunta, mas a facility local0 não pode estar sendo gravada em
outro arquivo? Verificou o syslog.conf?
[]'s,
José Maria.
echo qvzl5thyph5qyGnthps5jvt | perl -pe 's/(.)/chr(ord($1)-7)/ge'
2011/1/5 João
José Maria, obrigado pela dica, porém está correto. Aponta para o
/var/log/messages.
Atenciosamente,
João Queiroz
Em 05/01/2011, às 11:00, Jose Maria de Castro Jr. escreveu:
João marcelo,
me desculpe a pergunta, mas a facility local0 não pode estar sendo gravada
em outro arquivo?
Leandro,
obrigado pela ajuda, fiz isso, veremos no que dá.
Obrigado pela ajuda de todos, agora o Iptables só libera as portas 5060 e
1:2 para IPs do Brasil.
Trocarei a porta 5060 para uma mais alta nos ATAs.
Fiz as alterações sugeridas pelo Leandro no fail2ban.
Acredito que agora tenha
Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou
recebendo em um servidor. Já li e re-li alguns artigos sobre a sua
configuração, sem sucesso. Minhas fontes foram:
http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk
Como fica o log dos ataques?
Em 4 de janeiro de 2011 17:18, João Marcelo Queiroz j...@bol.com.brescreveu:
Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou
recebendo em um servidor. Já li e re-li alguns artigos sobre a sua
configuração, sem sucesso. Minhas fontes
Sugestão,
Desencana de fail2ban ou de qualquer outra ferramenta desse nível, a solução
é impedir o acesso externo ao servidor e apenas utilizar ramais externos via
vpn.
Já tive muitos problemas com isso!
Abs
# ---
Sylvio Carlos
Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam celular (3G)
com ramais registrados diretamente no servidor. Sendo assim não tenho como
liberar apenas os IPs conhecidos. Em outra empresa utilizo VPN, mas nesse caso
não posso, por conta dos aparelhos celular e alguns ATAs em
João,
Teste usar senhas complexas para esses ramais remotos, se possível aplique
tls sobre o sip.
Abs
# ---
Sylvio Carlos Jollenbeck Borin
#
Em 4 de janeiro de 2011
Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu:
Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam
celular (3G) com ramais registrados diretamente no servidor. Sendo
assim não tenho como liberar apenas os IPs conhecidos. Em outra
empresa utilizo VPN, mas nesse
Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu:
Pois olhe,
Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%,
uma vez que vc identificou a rede origem do ataque e conhece a dos
clientes :
iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j
Bem, no meu caso funciona bem, seguem minhas confs abaixo, tente comparar
para ver se há algo de diferente:
- Arquivo de filtro para SIP: /etc/fail2ban/filter.d/asterisk.conf
[INCLUDES]
[Definition]
failregex = NOTICE.* .*: Registration from ..*. failed for .HOST. . Wrong
password
26 matches
Mail list logo
