Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Boa Tarde Cara, eu uso esse script para instalar nos meus servidores. Em todos os meus funcionam apt-get -y install fail2ban echo [asterisk-iptables] /etc/fail2ban/jail.conf echo enabled = true /etc/fail2ban/jail.conf echo filter = asterisk /etc/fail2ban/jail.conf echo action = iptables-allports[name=ASTERISK, protocol=all] /etc/fail2ban/jail.conf echo sendmail-whois[name=ASTERISK, dest=root, sender=fail2...@example.org] /etc/fail2ban/jail.conf echo logpath = /var/log/asterisk/messages /etc/fail2ban/jail.conf sed -i 's/bantime = 600/bantime = 7600/g' /etc/fail2ban/jail.conf sed -i 's/maxretry = 3/maxretry = 6/g' /etc/fail2ban/jail.conf touch /etc/fail2ban/filter.d/asterisk.conf echo /etc/fail2ban/filter.d/asterisk.conf echo [INCLUDES] /etc/fail2ban/filter.d/asterisk.conf echo /etc/fail2ban/filter.d/asterisk.conf echo [Definition] /etc/fail2ban/filter.d/asterisk.conf echo failregex = ^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Wrong password /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - No matching peer found /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Username/auth name mismatch /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Device does not match ACL /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* HOST failed to authenticate as '.*'\$ /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: No registration for peer '.*' \(from HOST\) /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Host HOST failed MD5 authentication for '.*' (.*) /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Failed to authenticate user .*@HOST.* /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Device not configured to use this transport type /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: .*: Registration from '.*' failed for 'HOST' - Device not configured to use this transport type /etc/fail2ban/filter.d/asterisk.conf echo ignoreregex = /etc/fail2ban/filter.d/asterisk.conf sed -i 's/dateformat=.*/dateformat=%F %T/g' /etc/asterisk/logger.conf sed -i '/^messages/d' /etc/asterisk/logger.conf echo messages = verbose,warning,error,notice /etc/asterisk/logger.conf asterisk -rx logger reload On Mon, Feb 4, 2013 at 11:36 AM, Silvio Garbes silviogar...@gmail.comwrote: Em resposta a mensagem de João Marcelo Queiroz na pergunta de Fail2Ban não bloqueia ataque em Quarta Janeiro 5 10:40:26 BRST 2011. Estive com o mesmo problema e descobri que da versão 1.8 do asterisk para a versão 1.4 deve-se alterar o arquivo /etc/fail2ban/filter.d/asterisk.conf. No log do asterisk da versão 1.8 ou superior a porta de destino vem junto com o log. De: failregex = NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Wrong password$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - No matching peer found$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Username/auth name mismatch$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Device does not match ACL$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Peer is not supposed to register$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - ACL error (permit/deny)$ NOTICE%(__pid_re)s HOST failed to authenticate as '.*'$ NOTICE%(__pid_re)s .*: No registration for peer '.*' \(from HOST\)$ NOTICE%(__pid_re)s .*: Host HOST failed MD5 authentication for '.*' (.*)$ NOTICE%(__pid_re)s .*: Failed to authenticate user .*@HOST.*$ Para: failregex = NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Wrong password$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - No matching peer found$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Username/auth name mismatch$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Device does not match ACL$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Peer is not supposed to register$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - ACL error (permit/deny)$ NOTICE%(__pid_re)s HOST failed to authenticate as '.*'$ NOTICE%(__pid_re)s .*: No registration for peer '.*' \(from HOST\)$ NOTICE%(__pid_re)s .*: Host HOST failed MD5 authentication for '.*' (.*)$ NOTICE%(__pid_re)s .*: Failed to authenticate user .*@HOST.*$ Cordialmente, Sílvio Garbes Lara ___ EBS
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Se for asterisk 1.8 http://tuxmarcial.blogspot.com.br/2013/02/fail2ban-no-asterisk-18.html Em 28-03-2013 17:23, André Luis Ribeiro escreveu: Boa Tarde Cara, eu uso esse script para instalar nos meus servidores. Em todos os meus funcionam apt-get -y install fail2ban echo [asterisk-iptables] /etc/fail2ban/jail.conf echo enabled = true /etc/fail2ban/jail.conf echo filter = asterisk /etc/fail2ban/jail.conf echo action = iptables-allports[name=ASTERISK, protocol=all] /etc/fail2ban/jail.conf echo sendmail-whois[name=ASTERISK, dest=root, sender=fail2...@example.org mailto:fail2...@example.org] /etc/fail2ban/jail.conf echo logpath = /var/log/asterisk/messages /etc/fail2ban/jail.conf sed -i 's/bantime = 600/bantime = 7600/g' /etc/fail2ban/jail.conf sed -i 's/maxretry = 3/maxretry = 6/g' /etc/fail2ban/jail.conf touch /etc/fail2ban/filter.d/asterisk.conf echo /etc/fail2ban/filter.d/asterisk.conf echo [INCLUDES] /etc/fail2ban/filter.d/asterisk.conf echo /etc/fail2ban/filter.d/asterisk.conf echo [Definition] /etc/fail2ban/filter.d/asterisk.conf echo failregex = ^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Wrong password /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - No matching peer found /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Username/auth name mismatch /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Device does not match ACL /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* HOST failed to authenticate as '.*'\$ /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: No registration for peer '.*' \(from HOST\) /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Host HOST failed MD5 authentication for '.*' (.*) /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Failed to authenticate user .*@HOST.* /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: Registration from '.*' failed for 'HOST' - Device not configured to use this transport type /etc/fail2ban/filter.d/asterisk.conf echo^.* .*NOTICE.* .*: .*: Registration from '.*' failed for 'HOST' - Device not configured to use this transport type /etc/fail2ban/filter.d/asterisk.conf echo ignoreregex = /etc/fail2ban/filter.d/asterisk.conf sed -i 's/dateformat=.*/dateformat=%F %T/g' /etc/asterisk/logger.conf sed -i '/^messages/d' /etc/asterisk/logger.conf echo messages = verbose,warning,error,notice /etc/asterisk/logger.conf asterisk -rx logger reload On Mon, Feb 4, 2013 at 11:36 AM, Silvio Garbes silviogar...@gmail.com mailto:silviogar...@gmail.com wrote: Em resposta a mensagem de João Marcelo Queiroz na pergunta de Fail2Ban não bloqueia ataque em Quarta Janeiro 5 10:40:26 BRST 2011. Estive com o mesmo problema e descobri que da versão 1.8 do asterisk para a versão 1.4 deve-se alterar o arquivo /etc/fail2ban/filter.d/asterisk.conf. No log do asterisk da versão 1.8 ou superior a porta de destino vem junto com o log. De: failregex = NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Wrong password$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - No matching peer found$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Username/auth name mismatch$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Device does not match ACL$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - Peer is not supposed to register$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST' - ACL error (permit/deny)$ NOTICE%(__pid_re)s HOST failed to authenticate as '.*'$ NOTICE%(__pid_re)s .*: No registration for peer '.*' \(from HOST\)$ NOTICE%(__pid_re)s .*: Host HOST failed MD5 authentication for '.*' (.*)$ NOTICE%(__pid_re)s .*: Failed to authenticate user .*@HOST.*$ Para: failregex = NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Wrong password$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - No matching peer found$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Username/auth name mismatch$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Device does not match ACL$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - Peer is not supposed to register$ NOTICE%(__pid_re)s .*: Registration from '.*' failed for 'HOST:.*' - ACL error (permit/deny)$ NOTICE%(__pid_re)s HOST failed to
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Ozeas, é exatamente isso que está ocorrendo aqui. Raras vezes bloqueia, e isso depois de muitas tentativas. Vou mudar as portas SIP, realmente normalmente fico no range 506X, passarei para uma porta mais alta. Obrigado pela lembrança. João Queiroz Em 04/01/2011, às 22:57, Oseias Ferreira escreveu: Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu: Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam celular (3G) com ramais registrados diretamente no servidor. Sendo assim não tenho como liberar apenas os IPs conhecidos. Em outra empresa utilizo VPN, mas nesse caso não posso, por conta dos aparelhos celular e alguns ATAs em outras cidades apontando para o servidor (IP dinâmico). Mas obrigado pela sugestão, As vezes que eu testei este fail2ban ele comportou de forma estranha. As vezes ele fechava o host atacante conforme a configuração, no caso eu havia estipulado 10 tentativas registradas nos logs. Outras vezes, precisava mais de 100 tentativas. Outras vezes, ele só fechava depois de umas 500 tentativas. Isto eu usando um host para testar as invasões, atacando da mesma forma. Quando ele fechava eu reiniciava o firewall e limpava os logs antes de um novo ataque. Resumindo: Eu não consegui fazer ele funcionar. Existem outros IDS, porém aqui na lista só ouvi falarem do fail2ban. O motivo disto é porque não sabem ou porque não querem passar a informação. Talvez seja mais fácil você conseguir isto num forum que trate especificamente de linux e ou segurança. Eu usei o Snort por um tempo, antes de começar mexer com asterisk. Ele é bom, porém complicado de configurar. Só para impedir acesso ao seu sip, talvez ele seja um canhão para matar uma mosca. Se você puder, mude a porta de acesso do sip para uma diferente da 5060. Geralmente estes ataques são feitos por bots que escaneiam a rede atrás de 5060 abertas. Se trocar, já reduz bastante o número de tentativas. Coloque senhas difíceis e só permita acesso para as contas que realmente precisam. Abraço. -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Tenho feito isso no IP tables, embora tenha feito por IP individual e não por range. Tentei conseguir qual o range de IPs do Brasil, sem sucesso. Alguém teria essa informação? Assim liberaria apenas o range de IP brasileiro, diminuiria muito os ataques. Tenho visto que estão partindo da: Alemanha, Rep. Tcheca, Índia, EUA, Inglaterra... enfim, apenas IPs de fora. Embora, pelas senhas que o boot tentou logar, parece-me que vem de um país muçulmano, pois as tentativas começam com palavras tipo abdulah. Qualquer ajuda seria bem vinda, João Queiroz Em 04/01/2011, às 23:25, Oseias Ferreira escreveu: Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu: Pois olhe, Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%, uma vez que vc identificou a rede origem do ataque e conhece a dos clientes : iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0 -j DROP Se nenhum usuário for registrar fora do Brasil, realmente pode usar. Como a maioria dos ataques têm origem de IPs de fora, (provavelmente os bots usam a rede tor), vai bloquear boa parte. Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados de IPs brasileiros. http://en.wikipedia.org/wiki/Intrusion_Detection_System -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Em 05/01/2011, às 12:18, João Marcelo Queiroz escreveu: Tenho feito isso no IP tables, embora tenha feito por IP individual e não por range. Tentei conseguir qual o range de IPs do Brasil, sem sucesso. Alguém teria essa informação? Assim liberaria apenas o range de IP brasileiro, diminuiria muito os ataques. Tenho visto que estão partindo da: Alemanha, Rep. Tcheca, Índia, EUA, Inglaterra... enfim, apenas IPs de fora. Embora, pelas senhas que o boot tentou logar, parece-me que vem de um país muçulmano, pois as tentativas começam com palavras tipo abdulah. Qualquer ajuda seria bem vinda http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Leandro, tem uma pequena diferença de sintaxe, no seu asterisk.conf existe o .. (ponto ponto) e no meu não (utilizo o apóstrofo ' ) , segue o meu para comparação: failregex = NOTICE.* .*: Registration from '.*' failed for 'HOST' - Wrong password NOTICE.* .*: Registration from '.*' failed for 'HOST' - No matching peer found NOTICE.* .*: Registration from '.*' failed for 'HOST' - Username/auth name mismatch NOTICE.* .*: Registration from '.*' failed for 'HOST' - Device does not match ACL NOTICE.* .*: Registration from '.*' failed for 'HOST' - Peer is not supposed to register NOTICE.* HOST failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' \(from HOST\) NOTICE.* .*: Host HOST failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@HOST.* ignoreregex = Procede essa diferença? Atenciosamente, João Queiroz Em 05/01/2011, às 00:26, leandro alves escreveu: Bem, no meu caso funciona bem, seguem minhas confs abaixo, tente comparar para ver se há algo de diferente: - Arquivo de filtro para SIP: /etc/fail2ban/filter.d/asterisk.conf [INCLUDES] [Definition] failregex = NOTICE.* .*: Registration from ..*. failed for .HOST. . Wrong password NOTICE.* .*: Registration from ..*. failed for .HOST. . No matching peer found NOTICE.* .*: Registration from ..*. failed for .HOST. . Username/auth name mismatch NOTICE.* .*: Registration from ..*. failed for .HOST. . Device does not match ACL NOTICE.* HOST failed to authenticate as ..*.$ NOTICE.* .*: No registration for peer ..*. \(from HOST\) NOTICE.* .*: Host HOST failed MD5 authentication for ..*. (.*) NOTICE.* .*: Failed to authenticate user .*@HOST.* ignoreregex = - No jail.conf: [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] # sendmail-whois[name=ASTERISK, dest=planetfone-fail2...@planetarium.com.br, sender=fail2...@pfdesenv3.planetarium.com.br] sendmail-whois[name=ASTERISK] logpath = /var/log/asterisk/full maxretry = 3 bantime = 259200 Lembrando que em logpath, deverá conter exatamente o caminho de onde é gerado o log do asterisk, devidamente configurado no arquivo logger.conf Att., Em 5 de janeiro de 2011 00:25, Oseias Ferreira ferreira.ose...@gmail.com escreveu: Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu: Pois olhe, Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%, uma vez que vc identificou a rede origem do ataque e conhece a dos clientes : iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0 -j DROP Se nenhum usuário for registrar fora do Brasil, realmente pode usar. Como a maioria dos ataques têm origem de IPs de fora, (provavelmente os bots usam a rede tor), vai bloquear boa parte. Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados de IPs brasileiros. http://en.wikipedia.org/wiki/Intrusion_Detection_System -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Para descobrir as faixas de IP do Brasil http://lacnic.net/cgi-bin/lacnic/whois?lg=PT Na busca, digite: BR-CGIN-LACNIC Mensagem original De: Oseias Ferreira ferreira.ose...@gmail.com Responder a: asteriskbrasil@listas.asteriskbrasil.org Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque Data: Wed, 5 Jan 2011 12:23:57 + Em 05/01/2011, às 12:18, João Marcelo Queiroz escreveu: Tenho feito isso no IP tables, embora tenha feito por IP individual e não por range. Tentei conseguir qual o range de IPs do Brasil, sem sucesso. Alguém teria essa informação? Assim liberaria apenas o range de IP brasileiro, diminuiria muito os ataques. Tenho visto que estão partindo da: Alemanha, Rep. Tcheca, Índia, EUA, Inglaterra... enfim, apenas IPs de fora. Embora, pelas senhas que o boot tentou logar, parece-me que vem de um país muçulmano, pois as tentativas começam com palavras tipo abdulah. Qualquer ajuda seria bem vinda http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Rodrigo, se eu não gostasse de mulher, casava contigo hoje!! :) Valeu!! João Queiroz Em 05/01/2011, às 10:01, Rodrigo Vian escreveu: Para descobrir as faixas de IP do Brasil http://lacnic.net/cgi-bin/lacnic/whois?lg=PT Na busca, digite: BR-CGIN-LACNIC Mensagem original De: Oseias Ferreira ferreira.ose...@gmail.com Responder a: asteriskbrasil@listas.asteriskbrasil.org Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque Data: Wed, 5 Jan 2011 12:23:57 + Em 05/01/2011, às 12:18, João Marcelo Queiroz escreveu: Tenho feito isso no IP tables, embora tenha feito por IP individual e não por range. Tentei conseguir qual o range de IPs do Brasil, sem sucesso. Alguém teria essa informação? Assim liberaria apenas o range de IP brasileiro, diminuiria muito os ataques. Tenho visto que estão partindo da: Alemanha, Rep. Tcheca, Índia, EUA, Inglaterra... enfim, apenas IPs de fora. Embora, pelas senhas que o boot tentou logar, parece-me que vem de um país muçulmano, pois as tentativas começam com palavras tipo abdulah. Qualquer ajuda seria bem vinda http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.brescreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx ] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Mesmo que você não gostasse de mulher não ia acontecer nada... Meu negócio é mulher mesmo! rsrsrsrsrsrs Abs Mensagem original De: João Marcelo Queiroz j...@bol.com.br Responder a: asteriskbrasil@listas.asteriskbrasil.org Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque Data: Wed, 5 Jan 2011 10:12:08 -0300 Rodrigo, se eu não gostasse de mulher, casava contigo hoje!! :) Valeu!! João Queiroz Em 05/01/2011, às 10:01, Rodrigo Vian escreveu: Para descobrir as faixas de IP do Brasil http://lacnic.net/cgi-bin/lacnic/whois?lg=PT Na busca, digite: BR-CGIN-LACNIC Mensagem original De: Oseias Ferreira ferreira.ose...@gmail.com Responder a: asteriskbrasil@listas.asteriskbrasil.org Para: asteriskbrasil@listas.asteriskbrasil.org Assunto: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque Data: Wed, 5 Jan 2011 12:23:57 + Em 05/01/2011, às 12:18, João Marcelo Queiroz escreveu: Tenho feito isso no IP tables, embora tenha feito por IP individual e não por range. Tentei conseguir qual o range de IPs do Brasil, sem sucesso. Alguém teria essa informação? Assim liberaria apenas o range de IP brasileiro, diminuiria muito os ataques. Tenho visto que estão partindo da: Alemanha, Rep. Tcheca, Índia, EUA, Inglaterra... enfim, apenas IPs de fora. Embora, pelas senhas que o boot tentou logar, parece-me que vem de um país muçulmano, pois as tentativas começam com palavras tipo abdulah. Qualquer ajuda seria bem vinda http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Mas meu logger.conf tá: [logfiles] syslog.local0 = notice Comentei a linha: ; dateformat=%F %T Pois já que não estava tendo resultado da maneira padrão (usando o logpath = /var/log/asterisk/full), tentei dessa forma. Abs, João Queiroz Em 05/01/2011, às 10:16, leandro alves escreveu: João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.br escreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
- Descomente o dateformat - Inclua a linha fail2ban = notice - Altere no seu jail.conf: logpath = /var/log/asterisk/fail2ban Em 5 de janeiro de 2011 11:40, João Marcelo Queiroz j...@bol.com.brescreveu: Mas meu logger.conf tá: [logfiles] syslog.local0 = notice Comentei a linha: ; dateformat=%F %T Pois já que não estava tendo resultado da maneira padrão (usando o logpath = /var/log/asterisk/full), tentei dessa forma. Abs, João Queiroz Em 05/01/2011, às 10:16, leandro alves escreveu: João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.brescreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro,
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
João marcelo, me desculpe a pergunta, mas a facility local0 não pode estar sendo gravada em outro arquivo? Verificou o syslog.conf? []'s, José Maria. echo qvzl5thyph5qyGnthps5jvt | perl -pe 's/(.)/chr(ord($1)-7)/ge' 2011/1/5 João Marcelo Queiroz j...@bol.com.br Mas meu logger.conf tá: [logfiles] syslog.local0 = notice Comentei a linha: ; dateformat=%F %T Pois já que não estava tendo resultado da maneira padrão (usando o logpath = /var/log/asterisk/full), tentei dessa forma. Abs, João Queiroz Em 05/01/2011, às 10:16, leandro alves escreveu: João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.brescreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Bom dia. Campeão segue este tutorial http://wnunes.com/2010/06/24/asterisk-com-fail2ban/ e presta atenção nos paths dos logs. Funciona sem problemas. Verifica o iptables etc... abs Date: Wed, 5 Jan 2011 12:00:53 -0200 From: jose.maria...@gmail.com To: asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque João marcelo, me desculpe a pergunta, mas a facility local0 não pode estar sendo gravada em outro arquivo? Verificou o syslog.conf? []'s, José Maria. echo qvzl5thyph5qyGnthps5jvt | perl -pe 's/(.)/chr(ord($1)-7)/ge' 2011/1/5 João Marcelo Queiroz j...@bol.com.br Mas meu logger.conf tá: [logfiles] syslog.local0 = notice Comentei a linha: ; dateformat=%F %T Pois já que não estava tendo resultado da maneira padrão (usando o logpath = /var/log/asterisk/full), tentei dessa forma. Abs, João Queiroz Em 05/01/2011, às 10:16, leandro alves escreveu: João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.br escreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
José Maria, obrigado pela dica, porém está correto. Aponta para o /var/log/messages. Atenciosamente, João Queiroz Em 05/01/2011, às 11:00, Jose Maria de Castro Jr. escreveu: João marcelo, me desculpe a pergunta, mas a facility local0 não pode estar sendo gravada em outro arquivo? Verificou o syslog.conf? []'s, José Maria. echo qvzl5thyph5qyGnthps5jvt | perl -pe 's/(.)/chr(ord($1)-7)/ge' 2011/1/5 João Marcelo Queiroz j...@bol.com.br Mas meu logger.conf tá: [logfiles] syslog.local0 = notice Comentei a linha: ; dateformat=%F %T Pois já que não estava tendo resultado da maneira padrão (usando o logpath = /var/log/asterisk/full), tentei dessa forma. Abs, João Queiroz Em 05/01/2011, às 10:16, leandro alves escreveu: João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.br escreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Leandro, obrigado pela ajuda, fiz isso, veremos no que dá. Obrigado pela ajuda de todos, agora o Iptables só libera as portas 5060 e 1:2 para IPs do Brasil. Trocarei a porta 5060 para uma mais alta nos ATAs. Fiz as alterações sugeridas pelo Leandro no fail2ban. Acredito que agora tenha bloqueado os ataques. Muito grato a todos, João Queiroz Em 05/01/2011, às 10:58, leandro alves escreveu: - Descomente o dateformat - Inclua a linha fail2ban = notice - Altere no seu jail.conf: logpath = /var/log/asterisk/fail2ban Em 5 de janeiro de 2011 11:40, João Marcelo Queiroz j...@bol.com.br escreveu: Mas meu logger.conf tá: [logfiles] syslog.local0 = notice Comentei a linha: ; dateformat=%F %T Pois já que não estava tendo resultado da maneira padrão (usando o logpath = /var/log/asterisk/full), tentei dessa forma. Abs, João Queiroz Em 05/01/2011, às 10:16, leandro alves escreveu: João Marcelo, No teu jail.conf, esta apontando o logpath para /var/log/messages, o seu log do asterisk provavelmente não é gerado nesta path, e sim: /var/log/asterisk/messages (ou o que estiver configurado no logger.conf) O (..) é somente para ler o que vier antes do informado na entrada no log (ex.: ..Wrong password) Tente utilizar como esta na minha configuração. Em 5 de janeiro de 2011 11:07, João Marcelo Queiroz j...@bol.com.br escreveu: José Maria, eu já tinha visto isso, no meu está apontando para o syslog e ainda deu furo. Segue meu jail.conf ... [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=...@xxx, sender=fail2...@xxx] logpath = /var/log/messages maxretry = 3 bantime = 259200 Atenciosamente, João Queiroz Em 05/01/2011, às 09:57, Jose Maria de Castro Jr. escreveu: Pessoal, alguém já viu esta página? http://www.fail2ban.org/wiki/index.php/Asterisk The first line is from /var/log/asterisk/messages, which is written by asterisk. It is not usable for fail2ban (0.8.3) because of the timestamp that is enclosed in brackets. Fiz um teste usando o syslog, cf. indicado, e parece que funcionou. Espero ter ajudado. Abs, José Maria. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___
[AsteriskBrasil] Fail2Ban não bloqueia ataque
Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou recebendo em um servidor. Já li e re-li alguns artigos sobre a sua configuração, sem sucesso. Minhas fontes foram: http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk http://iceburn.info/linux/instalar-fail2ban-em-centos.html Estou rodando o Trixbox 2.6.2.3 Agradeceria muito qualquer ajuda, segue abaixo algumas informações que podem ajudar: - [trixbox1.localdomain ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ASTERISK all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere DROP all -- ns1.oiss10.net anywhere- alguns IPs que bloqueie na mão DROP all -- 93.114.196.109 anywhere DROP all -- 109.203.99.88anywhere DROP all -- reverse.completel.net anywhere DROP all -- server77-68-52-218.live-servers.net anywhere DROP all -- server1.boundlessflight.com anywhere DROP all -- ns1.oiss10.net anywhere DROP all -- 184-106-165-224.static.cloud-ips.com anywhere DROP all -- midphase.com anywhere DROP all -- 188.161.224.232 anywhere DROP all -- 14-64-245-83.packetexchange.net anywhere DROP all -- 174-143-246-25.static.slicehost.net anywhere DROP all -- 168.188.130.184 anywhere DROP all -- static.206.17.4.46.clients.your-server.de anywhere DROP all -- 91.220.62.36 anywhere DROP all -- 59.39.66.30 anywhere ACCEPT all -- XXX.XXX.XXX.XX.static.gvt.net.br anywhere ACCEPT udp -- anywhere anywhereudp dpts:sip:5070 ACCEPT udp -- anywhere anywhereudp dpts:ndmp:dnp ACCEPT udp -- anywhere anywhereudp dpt:domain ACCEPT udp -- anywhere anywhereudp dpt:iax DROP icmp -- anywhere anywhereicmp echo-request ACCEPT all -- anywhere anywherestate RELATED,ESTABLISHED DROP tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ASTERISK (1 references) target prot opt source destination RETURN all -- anywhere anywhere Chain fail2ban-SSH (0 references) target prot opt source destination RETURN all -- anywhere anywhere [trixbox1.localdomain ~]# - FAIL2BAN.CONF - # Fail2Ban configuration file # # Author: Cyril Jaquier # # $Revision: 629 $ # [Definition] # Option: loglevel # Notes.: Set the log level output. # 1 = ERROR # 2 = WARN # 3 = INFO # 4 = DEBUG # Values: NUM Default: 3 # loglevel = 3 # Option: logtarget # Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT. # Only one log target can be specified. # Values: STDOUT STDERR SYSLOG file Default: /var/log/fail2ban.log # logtarget = /var/log/fail2ban.log # Option: socket # Notes.: Set the socket file. This is used to communicate with the daemon. Do # not remove this file when Fail2ban runs. It will not be possible to # communicate with the server afterwards. # Values: FILE Default: /var/run/fail2ban/fail2ban.sock # socket = /var/run/fail2ban/fail2ban.sock - JAIL.CONF (apenas o final). - [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=x...@xxx.com.br, sender=fail2...@example.org] logpath = /var/log/messages maxretry = 3 bantime = 259200 - ASTERISK.CONF (filter.d) - # Fail2Ban configuration file # # # $Revision: 250 $ # [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named host. The tag HOST can # be used for standard IP/hostname matching and is only an
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Como fica o log dos ataques?
Em 4 de janeiro de 2011 17:18, João Marcelo Queiroz j...@bol.com.brescreveu:
Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou
recebendo em um servidor. Já li e re-li alguns artigos sobre a sua
configuração, sem sucesso. Minhas fontes foram:
http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asteriskhttp://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk
http://iceburn.info/linux/instalar-fail2ban-em-centos.html
Estou rodando o Trixbox 2.6.2.3
Agradeceria muito qualquer ajuda, segue abaixo algumas informações que
podem ajudar:
-
[trixbox1.localdomain ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ASTERISK all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
DROP all -- ns1.oiss10.net anywhere- alguns IPs
que bloqueie na mão
DROP all -- 93.114.196.109 anywhere
DROP all -- 109.203.99.88anywhere
DROP all -- reverse.completel.net anywhere
DROP all -- server77-68-52-218.live-servers.net anywhere
DROP all -- server1.boundlessflight.com anywhere
DROP all -- ns1.oiss10.net anywhere
DROP all -- 184-106-165-224.static.cloud-ips.com anywhere
DROP all -- midphase.com anywhere
DROP all -- 188.161.224.232 anywhere
DROP all -- 14-64-245-83.packetexchange.net anywhere
DROP all -- 174-143-246-25.static.slicehost.net anywhere
DROP all -- 168.188.130.184 anywhere
DROP all -- static.206.17.4.46.clients.your-server.de anywhere
DROP all -- 91.220.62.36 anywhere
DROP all -- 59.39.66.30 anywhere
ACCEPT all -- XXX.XXX.XXX.XX.static.gvt.net.br anywhere
ACCEPT udp -- anywhere anywhereudp
dpts:sip:5070
ACCEPT udp -- anywhere anywhereudp
dpts:ndmp:dnp
ACCEPT udp -- anywhere anywhereudp
dpt:domain
ACCEPT udp -- anywhere anywhereudp dpt:iax
DROP icmp -- anywhere anywhereicmp
echo-request
ACCEPT all -- anywhere anywherestate
RELATED,ESTABLISHED
DROP tcp -- anywhere anywheretcp
flags:FIN,SYN,RST,ACK/SYN
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-ASTERISK (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-SSH (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere
[trixbox1.localdomain ~]#
-
FAIL2BAN.CONF
-
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 629 $
#
[Definition]
# Option: loglevel
# Notes.: Set the log level output.
# 1 = ERROR
# 2 = WARN
# 3 = INFO
# 4 = DEBUG
# Values: NUM Default: 3
#
loglevel = 3
# Option: logtarget
# Notes.: Set the log target. This could be a file, SYSLOG, STDERR or
STDOUT.
# Only one log target can be specified.
# Values: STDOUT STDERR SYSLOG file Default: /var/log/fail2ban.log
#
logtarget = /var/log/fail2ban.log
# Option: socket
# Notes.: Set the socket file. This is used to communicate with the daemon.
Do
# not remove this file when Fail2ban runs. It will not be possible
to
# communicate with the server afterwards.
# Values: FILE Default: /var/run/fail2ban/fail2ban.sock
#
socket = /var/run/fail2ban/fail2ban.sock
-
JAIL.CONF (apenas o final).
-
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=x...@xxx.com.br, sender=
fail2...@example.org]
logpath = /var/log/messages
maxretry = 3
bantime = 259200
-
ASTERISK.CONF (filter.d)
-
# Fail2Ban configuration file
#
#
# $Revision: 250 $
#
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf
[Definition]
#_daemon = asterisk
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
The
# host must be matched by a group named host. The tag HOST
can
# be used for standard IP/hostname matching and is only an alias
for
# (?:::f{4,6}:)?(?Phost\S+)
# Values:
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Sugestão, Desencana de fail2ban ou de qualquer outra ferramenta desse nível, a solução é impedir o acesso externo ao servidor e apenas utilizar ramais externos via vpn. Já tive muitos problemas com isso! Abs # --- Sylvio Carlos Jollenbeck Borin # Em 4 de janeiro de 2011 17:18, João Marcelo Queiroz j...@bol.com.brescreveu: Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou recebendo em um servidor. Já li e re-li alguns artigos sobre a sua configuração, sem sucesso. Minhas fontes foram: http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asteriskhttp://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk http://iceburn.info/linux/instalar-fail2ban-em-centos.html Estou rodando o Trixbox 2.6.2.3 Agradeceria muito qualquer ajuda, segue abaixo algumas informações que podem ajudar: - [trixbox1.localdomain ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ASTERISK all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere DROP all -- ns1.oiss10.net anywhere- alguns IPs que bloqueie na mão DROP all -- 93.114.196.109 anywhere DROP all -- 109.203.99.88anywhere DROP all -- reverse.completel.net anywhere DROP all -- server77-68-52-218.live-servers.net anywhere DROP all -- server1.boundlessflight.com anywhere DROP all -- ns1.oiss10.net anywhere DROP all -- 184-106-165-224.static.cloud-ips.com anywhere DROP all -- midphase.com anywhere DROP all -- 188.161.224.232 anywhere DROP all -- 14-64-245-83.packetexchange.net anywhere DROP all -- 174-143-246-25.static.slicehost.net anywhere DROP all -- 168.188.130.184 anywhere DROP all -- static.206.17.4.46.clients.your-server.de anywhere DROP all -- 91.220.62.36 anywhere DROP all -- 59.39.66.30 anywhere ACCEPT all -- XXX.XXX.XXX.XX.static.gvt.net.br anywhere ACCEPT udp -- anywhere anywhereudp dpts:sip:5070 ACCEPT udp -- anywhere anywhereudp dpts:ndmp:dnp ACCEPT udp -- anywhere anywhereudp dpt:domain ACCEPT udp -- anywhere anywhereudp dpt:iax DROP icmp -- anywhere anywhereicmp echo-request ACCEPT all -- anywhere anywherestate RELATED,ESTABLISHED DROP tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ASTERISK (1 references) target prot opt source destination RETURN all -- anywhere anywhere Chain fail2ban-SSH (0 references) target prot opt source destination RETURN all -- anywhere anywhere [trixbox1.localdomain ~]# - FAIL2BAN.CONF - # Fail2Ban configuration file # # Author: Cyril Jaquier # # $Revision: 629 $ # [Definition] # Option: loglevel # Notes.: Set the log level output. # 1 = ERROR # 2 = WARN # 3 = INFO # 4 = DEBUG # Values: NUM Default: 3 # loglevel = 3 # Option: logtarget # Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT. # Only one log target can be specified. # Values: STDOUT STDERR SYSLOG file Default: /var/log/fail2ban.log # logtarget = /var/log/fail2ban.log # Option: socket # Notes.: Set the socket file. This is used to communicate with the daemon. Do # not remove this file when Fail2ban runs. It will not be possible to # communicate with the server afterwards. # Values: FILE Default: /var/run/fail2ban/fail2ban.sock # socket = /var/run/fail2ban/fail2ban.sock - JAIL.CONF (apenas o final). - [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=x...@xxx.com.br, sender= fail2...@example.org] logpath = /var/log/messages maxretry = 3 bantime = 259200 - ASTERISK.CONF (filter.d) - # Fail2Ban configuration file # # # $Revision: 250 $ # [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before =
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam celular (3G) com ramais registrados diretamente no servidor. Sendo assim não tenho como liberar apenas os IPs conhecidos. Em outra empresa utilizo VPN, mas nesse caso não posso, por conta dos aparelhos celular e alguns ATAs em outras cidades apontando para o servidor (IP dinâmico). Mas obrigado pela sugestão, João Queiroz Em 04/01/2011, às 16:27, Sylvio Carlos Jollenbeck escreveu: Sugestão, Desencana de fail2ban ou de qualquer outra ferramenta desse nível, a solução é impedir o acesso externo ao servidor e apenas utilizar ramais externos via vpn. Já tive muitos problemas com isso! Abs # --- Sylvio Carlos Jollenbeck Borin # Em 4 de janeiro de 2011 17:18, João Marcelo Queiroz j...@bol.com.br escreveu: Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou recebendo em um servidor. Já li e re-li alguns artigos sobre a sua configuração, sem sucesso. Minhas fontes foram: http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asterisk http://iceburn.info/linux/instalar-fail2ban-em-centos.html Estou rodando o Trixbox 2.6.2.3 Agradeceria muito qualquer ajuda, segue abaixo algumas informações que podem ajudar: - [trixbox1.localdomain ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ASTERISK all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere DROP all -- ns1.oiss10.net anywhere- alguns IPs que bloqueie na mão DROP all -- 93.114.196.109 anywhere DROP all -- 109.203.99.88anywhere DROP all -- reverse.completel.net anywhere DROP all -- server77-68-52-218.live-servers.net anywhere DROP all -- server1.boundlessflight.com anywhere DROP all -- ns1.oiss10.net anywhere DROP all -- 184-106-165-224.static.cloud-ips.com anywhere DROP all -- midphase.com anywhere DROP all -- 188.161.224.232 anywhere DROP all -- 14-64-245-83.packetexchange.net anywhere DROP all -- 174-143-246-25.static.slicehost.net anywhere DROP all -- 168.188.130.184 anywhere DROP all -- static.206.17.4.46.clients.your-server.de anywhere DROP all -- 91.220.62.36 anywhere DROP all -- 59.39.66.30 anywhere ACCEPT all -- XXX.XXX.XXX.XX.static.gvt.net.br anywhere ACCEPT udp -- anywhere anywhereudp dpts:sip:5070 ACCEPT udp -- anywhere anywhereudp dpts:ndmp:dnp ACCEPT udp -- anywhere anywhereudp dpt:domain ACCEPT udp -- anywhere anywhereudp dpt:iax DROP icmp -- anywhere anywhereicmp echo-request ACCEPT all -- anywhere anywherestate RELATED,ESTABLISHED DROP tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ASTERISK (1 references) target prot opt source destination RETURN all -- anywhere anywhere Chain fail2ban-SSH (0 references) target prot opt source destination RETURN all -- anywhere anywhere [trixbox1.localdomain ~]# - FAIL2BAN.CONF - # Fail2Ban configuration file # # Author: Cyril Jaquier # # $Revision: 629 $ # [Definition] # Option: loglevel # Notes.: Set the log level output. # 1 = ERROR # 2 = WARN # 3 = INFO # 4 = DEBUG # Values: NUM Default: 3 # loglevel = 3 # Option: logtarget # Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT. # Only one log target can be specified. # Values: STDOUT STDERR SYSLOG file Default: /var/log/fail2ban.log # logtarget = /var/log/fail2ban.log # Option: socket # Notes.: Set the socket file. This is used to communicate with the daemon. Do # not remove this file when Fail2ban runs. It will not be possible to # communicate with the server afterwards. # Values: FILE
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
João, Teste usar senhas complexas para esses ramais remotos, se possível aplique tls sobre o sip. Abs # --- Sylvio Carlos Jollenbeck Borin # Em 4 de janeiro de 2011 17:33, João Marcelo Queiroz j...@bol.com.brescreveu: Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam celular (3G) com ramais registrados diretamente no servidor. Sendo assim não tenho como liberar apenas os IPs conhecidos. Em outra empresa utilizo VPN, mas nesse caso não posso, por conta dos aparelhos celular e alguns ATAs em outras cidades apontando para o servidor (IP dinâmico). Mas obrigado pela sugestão, João Queiroz Em 04/01/2011, às 16:27, Sylvio Carlos Jollenbeck escreveu: Sugestão, Desencana de fail2ban ou de qualquer outra ferramenta desse nível, a solução é impedir o acesso externo ao servidor e apenas utilizar ramais externos via vpn. Já tive muitos problemas com isso! Abs # --- Sylvio Carlos Jollenbeck Borin # Em 4 de janeiro de 2011 17:18, João Marcelo Queiroz j...@bol.com.brescreveu: Estou com problemas para fazer o fail2ban bloquear alguns ataques que estou recebendo em um servidor. Já li e re-li alguns artigos sobre a sua configuração, sem sucesso. Minhas fontes foram: http://www.voip-info.org/wiki/view/Fail2Ban+(with+iptables)+And+Asteriskhttp://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk http://iceburn.info/linux/instalar-fail2ban-em-centos.html Estou rodando o Trixbox 2.6.2.3 Agradeceria muito qualquer ajuda, segue abaixo algumas informações que podem ajudar: - [trixbox1.localdomain ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ASTERISK all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere DROP all -- ns1.oiss10.net anywhere- alguns IPs que bloqueie na mão DROP all -- 93.114.196.109 anywhere DROP all -- 109.203.99.88anywhere DROP all -- reverse.completel.net anywhere DROP all -- server77-68-52-218.live-servers.net anywhere DROP all -- server1.boundlessflight.com anywhere DROP all -- ns1.oiss10.net anywhere DROP all -- 184-106-165-224.static.cloud-ips.com anywhere DROP all -- midphase.com anywhere DROP all -- 188.161.224.232 anywhere DROP all -- 14-64-245-83.packetexchange.net anywhere DROP all -- 174-143-246-25.static.slicehost.net anywhere DROP all -- 168.188.130.184 anywhere DROP all -- static.206.17.4.46.clients.your-server.de anywhere DROP all -- 91.220.62.36 anywhere DROP all -- 59.39.66.30 anywhere ACCEPT all -- XXX.XXX.XXX.XX.static.gvt.net.br anywhere ACCEPT udp -- anywhere anywhereudp dpts:sip:5070 ACCEPT udp -- anywhere anywhereudp dpts:ndmp:dnp ACCEPT udp -- anywhere anywhereudp dpt:domain ACCEPT udp -- anywhere anywhereudp dpt:iax DROP icmp -- anywhere anywhereicmp echo-request ACCEPT all -- anywhere anywherestate RELATED,ESTABLISHED DROP tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ASTERISK (1 references) target prot opt source destination RETURN all -- anywhere anywhere Chain fail2ban-SSH (0 references) target prot opt source destination RETURN all -- anywhere anywhere [trixbox1.localdomain ~]# - FAIL2BAN.CONF - # Fail2Ban configuration file # # Author: Cyril Jaquier # # $Revision: 629 $ # [Definition] # Option: loglevel # Notes.: Set the log level output. # 1 = ERROR # 2 = WARN # 3 = INFO # 4 = DEBUG # Values: NUM Default: 3 # loglevel = 3 # Option: logtarget # Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT. # Only one log target can be specified. # Values: STDOUT STDERR SYSLOG file Default: /var/log/fail2ban.log # logtarget = /var/log/fail2ban.log # Option: socket # Notes.: Set the socket file. This is used to communicate with the daemon. Do # not remove this file when Fail2ban runs. It
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Em 04/01/2011, às 19:33, João Marcelo Queiroz escreveu: Sylvio, obrigado pela idéia, entretanto alguns clientes utilizam celular (3G) com ramais registrados diretamente no servidor. Sendo assim não tenho como liberar apenas os IPs conhecidos. Em outra empresa utilizo VPN, mas nesse caso não posso, por conta dos aparelhos celular e alguns ATAs em outras cidades apontando para o servidor (IP dinâmico). Mas obrigado pela sugestão, As vezes que eu testei este fail2ban ele comportou de forma estranha. As vezes ele fechava o host atacante conforme a configuração, no caso eu havia estipulado 10 tentativas registradas nos logs. Outras vezes, precisava mais de 100 tentativas. Outras vezes, ele só fechava depois de umas 500 tentativas. Isto eu usando um host para testar as invasões, atacando da mesma forma. Quando ele fechava eu reiniciava o firewall e limpava os logs antes de um novo ataque. Resumindo: Eu não consegui fazer ele funcionar. Existem outros IDS, porém aqui na lista só ouvi falarem do fail2ban. O motivo disto é porque não sabem ou porque não querem passar a informação. Talvez seja mais fácil você conseguir isto num forum que trate especificamente de linux e ou segurança. Eu usei o Snort por um tempo, antes de começar mexer com asterisk. Ele é bom, porém complicado de configurar. Só para impedir acesso ao seu sip, talvez ele seja um canhão para matar uma mosca. Se você puder, mude a porta de acesso do sip para uma diferente da 5060. Geralmente estes ataques são feitos por bots que escaneiam a rede atrás de 5060 abertas. Se trocar, já reduz bastante o número de tentativas. Coloque senhas difíceis e só permita acesso para as contas que realmente precisam. Abraço. -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu: Pois olhe, Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%, uma vez que vc identificou a rede origem do ataque e conhece a dos clientes : iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0 -j DROP Se nenhum usuário for registrar fora do Brasil, realmente pode usar. Como a maioria dos ataques têm origem de IPs de fora, (provavelmente os bots usam a rede tor), vai bloquear boa parte. Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados de IPs brasileiros. http://en.wikipedia.org/wiki/Intrusion_Detection_System -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Fail2Ban não bloqueia ataque
Bem, no meu caso funciona bem, seguem minhas confs abaixo, tente comparar para ver se há algo de diferente: - Arquivo de filtro para SIP: /etc/fail2ban/filter.d/asterisk.conf [INCLUDES] [Definition] failregex = NOTICE.* .*: Registration from ..*. failed for .HOST. . Wrong password NOTICE.* .*: Registration from ..*. failed for .HOST. . No matching peer found NOTICE.* .*: Registration from ..*. failed for .HOST. . Username/auth name mismatch NOTICE.* .*: Registration from ..*. failed for .HOST. . Device does not match ACL NOTICE.* HOST failed to authenticate as ..*.$ NOTICE.* .*: No registration for peer ..*. \(from HOST\) NOTICE.* .*: Host HOST failed MD5 authentication for ..*. (.*) NOTICE.* .*: Failed to authenticate user .*@HOST.* ignoreregex = - No jail.conf: [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] # sendmail-whois[name=ASTERISK, dest= planetfone-fail2...@planetarium.com.br, sender= fail2...@pfdesenv3.planetarium.com.br] sendmail-whois[name=ASTERISK] logpath = /var/log/asterisk/full maxretry = 3 bantime = 259200 Lembrando que em logpath, deverá conter exatamente o caminho de onde é gerado o log do asterisk, devidamente configurado no arquivo logger.conf Att., Em 5 de janeiro de 2011 00:25, Oseias Ferreira ferreira.ose...@gmail.comescreveu: Em 05/01/2011, às 02:12, Wladimir Elvich Danielski escreveu: Pois olhe, Também tem o bom e velho iptables, não pega tudo porém filtra uns 80%, uma vez que vc identificou a rede origem do ataque e conhece a dos clientes : iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 188.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 189.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 200.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 5060:5061 -j ACCEPT iptables -A INPUT -i eth0-p UDP -s 201.0.0.0/8 --dport 1:3 - j ACCEPT iptables -A INPUT -i eth0 -j DROP Se nenhum usuário for registrar fora do Brasil, realmente pode usar. Como a maioria dos ataques têm origem de IPs de fora, (provavelmente os bots usam a rede tor), vai bloquear boa parte. Mas em conjunto com um IDS, pode pegar até mesmo os ataques originados de IPs brasileiros. http://en.wikipedia.org/wiki/Intrusion_Detection_System -- Oséias Ferreira. ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Leandro, ___ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br ___ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil __ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
