[AsteriskBrasil] regras do ip tables

Ossi Sariola posti01 em poboxes.com
Sábado Dezembro 10 21:10:36 BRT 2005


Certo…

A não ser que você esteja rodando uma servidor ao qual você realmente tem
vários usuários se conectando em SSH, porquê facilitar? E mesmo assim, só
deixaria uma maquina com SSH na porta 22 com um sistema de intrusão
instalado... mesmo com os últimos patches, versões e programas.

MAS, para um sistema igual ao Asterisk, cuja função não precisa de acesso
nenhum via SSH a não ser pelo administrador, faz TODO sentido habilitar uma
outra porta que 22 para o SSH. Pra que facilitar?

Quando faço inspeção em qualquer IP na Net, as primeiras portas que escaneio
é de SSH - TODOS os servidores que já vi, as quais estão na rede pública,
com SSH na porta 22, tem diariamente IP’s que tentam se logar usando
centenas de nomes de usuários, tentando acesso com password standard...

A minha sugestão (e todos temos uma...): se o seu servidor estiver na rede
para acesso por vários usuários, use porta 22, se não, mude.

De novo, pra que facilitar?

:|

oZ



________________________________________
From: Gabriel Sartor [mailto:gabrielsartor em gmail.com] 
Sent: Saturday, December 10, 2005 6:30 PM
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] regras do ip tables

Vou ter que discordar com vocês que rodar ssh na porta 22 é arriscado, se o
ssh da maquina estiver atualizado não tem problema algum ! 
Na minha opinão o importante é patchear o kernel com uns security patchs, e
deixar todos processos da maquina atualizados.
Claro que um firewall bem feito também ajuda, caso haja algum bug na
maquina. 
Mas a principio tem de se deixar tudo atualizado. 
Uma outra dica é não deixar teu ssh liberado para acesso root. depois pra
você pegar root basta dar um su.
 
espero ter ajudo em algo.
 
abraços.
 
Em 10/12/05, Ossi Sariola <posti01 em poboxes.com> escreveu: 
Opa! Sem problemas…
 
Sugiro fazer isso local, já que é mais fácil de mudar se algo sai errado.
 
oZ
 
________________________________________
From: Josué Conti [mailto: josueconti em gmail.com] 
Sent: Saturday, December 10, 2005 5:18 PM 

To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] regras do ip tables
 
Oz, muito obrigado.
Consigo fazer isso via ssh, ou tenho que fazer via local?
Desde já agradeço a atenção.
PS: Após esta operação executo um iptables-restore, né?
 
Abraço
 
Josué

 
Em 10/12/05, Ossi Sariola < posti01 em poboxes.com> escreveu: 
Josué,
 
Simples, no Putty antes de acessar, mude a porta para aquele que você mudou
no sshd_config. 
 
Abraços
 
oZ
 
________________________________________
From: Josué Conti [mailto: josueconti em gmail.com] 
Sent: Saturday, December 10, 2005 4:59 PM 

To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] regras do ip tables
 
Oz, mas acesso a maquina, via ssh, como altero no putty depois?
Como ficaria minha regra?
Agradeço a atenção

 
Em 10/12/05, Ossi Sariola < posti01 em poboxes.com > escreveu: 
Josué,
 
Se está conectado na internet, corre risco…
 
Sugiro mudar o SSH da porta 22 para algo acima de 50000....
 
oZ
 
________________________________________
From: Josué Conti [mailto: josueconti em gmail.com] 
Sent: Saturday, December 10, 2005 4:33 PM 
To: asteriskbrasil em listas.asteriskbrasil.org 
Subject: Re: [AsteriskBrasil] regras do ip tables
 
Eder, mas como está hoje, não corro risco de ataques, né?
Desde já obrigado
 
Josué

 
Em 10/12/05, eder souza < ederwander em yahoo.com.br> escreveu: 
Josué, é o seguinte falta o range do RTP que vai de 10000 a 20000 se vc não
liberar estas portas os clientes SIP que estão fora de sua rede local não
conseguirão acesso ao seu asterisk, lembrando que vc pode diminuir o range,
vc poderá faze-lo configurando o arquivo RTP.conf edita os campos
rtpstart=10000 e rtpend=20000 para um range menor exemplo
 
rtpstart=100 
rtpend=200
 
 
e libera no teu firewall 
 
ex:
 
-A INPUT -d 200.xxx.xxx.xxx -i eth0 -p tcp -m multiport --dports 100:200 -j
ACCEPT
 
Abraços 
 
Eder de souza.

Josué Conti < josueconti em gmail.com> escreveu:
Pessoal, bom dia.
Criei as seguintes regras no ip tables, mas gostaria de saber de vocês, se
necessita de mais alguma coisa, ou se esta bom desta maneira. 
Desde já agradeço a atenção.
 
# Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005
*mangle
:PREROUTING ACCEPT [10841147:2094051733]
:INPUT ACCEPT [10321713:2051635382] 
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10120294:1997487730] 
:POSTROUTING ACCEPT [10117524:1996938029]
COMMIT
# Completed on Mon Nov 21 19:36:08 2005
# Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005 
*nat
:PREROUTING ACCEPT [315:33059]
:POSTROUTING ACCEPT [22:4848] 
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Mon Nov 21 19:36:08 2005
# Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005 
*filter
:INPUT DROP [26:3695]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25925:5235989] 
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -d 200.xxx.xxx.xxx -i eth0 -p tcp -m multiport --dports
22,443,5060,4569 -j ACCEPT 
-A INPUT -d 200.xxx.xxx.xxx -i eth0 -p udp -m multiport --dports
5060,4569,123 -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
 
Onde o IP 200.xxx.xxx.xxx é o IP do Asterisk.
_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

_______________________________________________
Acesse o wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org 

 
________________________________________
Yahoo! doce lar. Faça do Yahoo! sua homepage. 

_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

_______________________________________________
Acesse o  wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org 
 

_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

_______________________________________________
Acesse o  wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org 
 

_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

_______________________________________________
Acesse o  wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org 
 

_______________________________________________
LIsta de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

_______________________________________________
Acesse o  wiki AsteriskBrasil.org:
http://www.asteriskbrasil.org 




Mais detalhes sobre a lista de discussão AsteriskBrasil