[AsteriskBrasil] iptables e fail2ban

Alejandro Flores alejandrorflores em gmail.com
Domingo Outubro 10 19:18:00 BRT 2010


Monica,

A opção multiport do iptables é para especificat várias portas em uma
mesma regra. Um range de portas não precisa dessa opção. Para o seu
firewall ficar legal e funcionar o asterisk recomendo:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --dport 5060:5061 -j ACCEPT
iptables -A INPUT -p udp --dport 10000:20000 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j log --log-level 3 --log-prefix "BLOQUEADO: "
iptables -A INPUT -j DROP

Recomendo ainda que você troque a porta do seu serviço SSH para uma
porta alta, tipo 2222 para evitar ataques de força bruta
automatizados. Se fizer isso, lembre-se de alterar a regra do iptables
que libera a porta 22.


Abraço,
Alejandro

2010/10/7 monica em addphone.net <monica em addphone.net>:
> ola, a todos alguem pode me ajudar na configuraçao de um iptables de
> fail2ban para meu servidor astrisk
>
> coloquei estas regras
>
> iptables -D INPUT -p tcp -m multiport --dport 10000:20000 -j ACCEPT
> iptables -D INPUT -p udp -m multiport --dport 10000:20000 -j ACCEPT
> iptables -D INPUT -p tcp -m multiport --dport 5060:5061 -j ACCEPT
> iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT
> iptables -I INPUT -p udp -m multiport --dport 80 -j ACCEPT
> iptables -I INPUT -p tcp --dport 22 -j ACCEPT
>
> service iptables save
> service iptables restart
>
>
> mas ficou sme audios e algun ramais nao puderam mais registrar
>
>
> e tabem o fail2ban nao bloqueo os ips dos ramais que ficam tentando
> registrar com senha errada.
>
>
>
> coloquei assim
>
> /etc/fail2ban/filter.d/asterisk.conf
>
> failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST >' - Wrong
> password
> NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer
> found
> NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name
> mismatch
> NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not
> match ACL
> NOTICE.* <HOST /> failed to authenticate as '.*'$
> NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
> NOTICE.* .*: Host <HOST /> failed MD5 authentication for '.*' (.*)
> NOTICE.* .*: Failed to authenticate user .*@<HOST />.*
>
> ignoreregex =
>
> /etc/fail2ban/jail.conf
> [asterisk-iptables]
> enabled  = true
> filter   = asterisk
> action   = iptables-allports[name=ASTERISK, protocol=all]
> sendmail-whois[name=ASTERISK, dest= youremailaddress em somewhere.com Este
> endereço de e-mail está protegido contra spambots. Você deve habilitar o
> JavaScript para visualizá-lo. , sender= fail2ban em somewhere.com Este endereço
> de e-mail está protegido contra spambots. Você deve habilitar o JavaScript
> para visualizá-lo. ]
> logpath  = /var/log/asterisk/full
> maxretry = 5
> bantime = 600
>
> /etc/asterisk/logger.conf
> [general]
> dateformat=%F %T
>
>
>
>
>
>
> __________ Información de ESET NOD32 Antivirus, versión de la base de firmas
> de virus 5512 (20101007) __________
>
> ESET NOD32 Antivirus ha comprobado este mensaje.
>
> http://www.eset.com
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Temos tudo para seu projeto VoIP com Asterisk!
> Descontos especiais para assinantes da AsteriskBrasil.org.
> Registre-se e receba um cupom exclusivo de desconto!
> Acesse agora www.voipmania.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 

Alejandro Flores
http://www.triforsec.com.br/


Mais detalhes sobre a lista de discussão AsteriskBrasil