troca a porta do registro e resolve o caso.
Marcus A. Queiroz Em 13 de dezembro de 2010 08:22, Roberto Fonseca < robertodafons...@terra.com.br> escreveu: > Dica facil e rapida, não requer prática, tampouco habilidade: > > Altera a porta do sip de 5060 para qualquer outro número alto, tipo > 55060.... > > > > 99% dos ataques só se dirigem a 5060....é muito cara, dispendioso de > recursos ficar fazendo portscan... > > > > > > Roberto Fonseca > > > > > > > > *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto: > asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Eduardo > Pereira > *Enviada em:* sábado, 11 de dezembro de 2010 12:44 > > *Para:* asteriskbrasil@listas.asteriskbrasil.org > *Assunto:* Re: [AsteriskBrasil] RES: Ataque > > > > Wagner > > o resultado das regras: > > -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m > recent --set > -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW -m > recent --update --seconds 60 --hitcount 4 -j DROP > -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m > recent --set > -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW -m > recent --update --seconds 60 --hitcount 4 -j DROP > -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 -j > ACCEPT > > 0 0 udp -- eth0 * 0.0.0.0/0 > 0.0.0.0/0 udp dpt:5060 state NEW recent: SET name: DEFAULT side: > source > 0 0 DROP udp -- eth0 * 0.0.0.0/0 > 0.0.0.0/0 udp dpt:5060 state NEW recent: UPDATE seconds: 60 > hit_count: 4 name: DEFAULT side: source > 0 0 tcp -- eth0 * 0.0.0.0/0 > 0.0.0.0/0 tcp dpt:5060 state NEW recent: SET name: DEFAULT side: > source > 0 0 DROP tcp -- eth0 * 0.0.0.0/0 > 0.0.0.0/0 tcp dpt:5060 state NEW recent: UPDATE seconds: 60 > hit_count: 4 name: DEFAULT side: source > 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 > state NEW udp dpt:5060 > > Observe que a ultima llinha libera a 5060, devo remover? > > Em 11-12-2010 12:34, Wagner Popov dos Santos escreveu: > > Eduardo, > > > > Parece que esse arquivo está correto para o UDP. Para TCP está faltando > > algo. > > > > Testei os dois comandos abaixo na minha própria máquina para o serviço > > de SSH e funcionou bem. Para o sip basta alterar as portas o protocolo. > > > > Se você pedir para o iptables listar as regras com um verbose ("iptables > > -t filter -nvL") vc consegue ver se houve algum drop na regra e > > consequentemente se ela está funcionando. > > > > Utilizei: > > > > iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set > > > > iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent > > --update --seconds 60 --hitcount 1 -j DROP > > > > > > > > > > Em Sáb, 2010-12-11 às 11:59 -0200, Eduardo Pereira escreveu: > > Wagner > > > > utilizando o arquivo do proprio centos seria assim? > > > > # Firewall configuration written by system-config-securitylevel > > # Manual customization of this file is not recommended. > > *filter > > :INPUT ACCEPT [0:0] > > :FORWARD ACCEPT [0:0] > > :OUTPUT ACCEPT [0:0] > > :RH-Firewall-1-INPUT - [0:0] > > -A INPUT -j RH-Firewall-1-INPUT > > -A FORWARD -j RH-Firewall-1-INPUT > > -A RH-Firewall-1-INPUT -i lo -j ACCEPT > > -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT > > -A RH-Firewall-1-INPUT -p xxx -j ACCEPT > > -A RH-Firewall-1-INPUT -p xxx -j ACCEPT > > -A RH-Firewall-1-INPUT -p udp --dport xxxx -d xxxxxxxxx -j ACCEPT > > -A RH-Firewall-1-INPUT -p udp -m udp --dport xxxx -j ACCEPT > > -A RH-Firewall-1-INPUT -p tcp -m tcp --dport xxxx -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > -A RH-Firewall-1-INPUT -p udp --dport 5060 -i eth0 -m state --state NEW > > -m recent --set > > -A RH-Firewall-1-INPUT -p tcp --dport 5060 -i eth0 -m state --state NEW > > -m recent --update --seconds 60 --hitcount 4 -j DROP > > #-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5060 > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4569 > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5036 > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport > > 10000:20000 -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport xxxxx > > -j ACCEPT > > -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited > > COMMIT > > > > Att > > > > Eduardo > > > > Em 11-12-2010 10:34, Wagner Popov dos Santos escreveu: > > Eduardo, > > > > Segue um pequeno texto sobre previnir DoS utilizando o iptables. Você > > pode limitar o número de conexões de uma mesma fonte durante um > > determinado período. Você pode ainda proteger outros serviços... > > > > ps: não cheguei a testar! > > > > << Prevent DoS attack in Linux using IPTABLES>> > > > > A major problem facing by mail server admin is DOS (Deniel Of Service) > > attack. Hackers will try to mess up with the most popular ports of a > > UNIX/LINUX machines. We can prevent this my writing an IPTABLE rule in > > the server. The working is ,if some one is trying make connection > > continuously through a specified port the rule will block the IPADDRESS > > permanently. Here I am stating the securing of PORT 25 (SMTP) here you > > can use your own > > > > iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m > > recent --set > > > > iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m > > recent --update --seconds 60 --hitcount 4 -j DROP > > > > This will Block all the IP ADDRESS which will make connection to port 25 > > continuously within ie 4 SMTP connection within 60 seconds. You can > > change PORT,INTERVALs here. > > > > > > > > > > > > > > > > > > > > Em Sáb, 2010-12-11 às 10:10 -0200, Rodrigo Lang escreveu: > > Em 11/12/2010, às 10:54, Fernando Meira Lins escreveu: > > > > > Também fui atacado por este IP e o fail2ban, demorou 132 > > tentativas > > > para bloquear. Muito estranho... Assim que recebi o alerta, > > de > > > imediato bloqueei pelo IPTABLES, mas de fato o que intriga, > > é porque > > > o fail2ban deixou passar tantas tentativas além do > > estipulado? > > > > > > > > > > > Pelo que eu saiba (posso estar errado) o fail2ban bloqueia após 3 > > tentativas no mesmo ramal. > > > > > > > > At, > > -- > > Rodrigo Lang > > Opening your mind - Just another Open Source site > > > > _______________________________________________ > > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > - Suporte técnico local qualificado e gratuito > > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > _______________________________________________ > > Headsets Plantronics com o melhor preço do Brasil. > > Acesse agora www.voipmania.com.br > > VOIPMANIA STORE > > ________ > > Lista de discussões AsteriskBrasil.org > > AsteriskBrasil@listas.asteriskbrasil.org > > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > ______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > _______________________________________________ > > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > - Suporte técnico local qualificado e gratuito > > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > _______________________________________________ > > Headsets Plantronics com o melhor preço do Brasil. > > Acesse agora www.voipmania.com.br > > VOIPMANIA STORE > > ________ > > Lista de discussões AsteriskBrasil.org > > AsteriskBrasil@listas.asteriskbrasil.org > > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > ______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > > > _______________________________________________ > > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > - Suporte técnico local qualificado e gratuito > > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > _______________________________________________ > > Headsets Plantronics com o melhor preço do Brasil. > > Acesse agora www.voipmania.com.br > > VOIPMANIA STORE > > ________ > > Lista de discussões AsteriskBrasil.org > > AsteriskBrasil@listas.asteriskbrasil.org > > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > ______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > > > _______________________________________________ > > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > - Suporte técnico local qualificado e gratuito > > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > _______________________________________________ > > Headsets Plantronics com o melhor preço do Brasil. > > Acesse agora www.voipmania.com.br > > VOIPMANIA STORE > > ________ > > Lista de discussões AsteriskBrasil.org > > AsteriskBrasil@listas.asteriskbrasil.org > > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > ______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > > > _______________________________________________ > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > - Suporte técnico local qualificado e gratuito > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > _______________________________________________ > Headsets Plantronics com o melhor preço do Brasil. > Acesse agora www.voipmania.com.br > VOIPMANIA STORE > ________ > Lista de discussões AsteriskBrasil.org > AsteriskBrasil@listas.asteriskbrasil.org > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > ______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org