MOLEHAND Solutions

 
jún. 8

Written by: MOLEHAND
2016. 06. 08. 17:41

A lenti szabály példa annyival tér el egy általános szervertől, hogy itt az Asterisk szolgáltatásokon van a hangsúly. 

A szabályt úgy értelmezzük, hogy alapértelmezetten az OUTPUT szabály engedélyezve, az INPUT szabály "eldob"-ra van állítva a FORWARD-dal egyetemben:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Természetesen a fenti 3 parancssori parancsot csak is kizárólag azután futassuk le, miután megbizonyosodtunk arról, hogy a már felvett szabályok hibátlanok, ellenkező estben kizárhatjuk magunkat az "INPUT DROP" paranccsal egyből a parancs kiadását követően. Abban az esetben nem lesz elérhető a gép távolról!

A lenti példa copy+paste alkalmas az "iptables-restore" ​paranccsal használható:

#loopback interface-en minden forgalmat engedelyezunk
-A INPUT -i lo -j ACCEPT
#RTP portok, amelyen keresztül folyik a SIP hang
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
#52580-as TCP port a User Control Panel portja, egyes PBX disztok kulon portra allitjak ba, ujabb distroknal a 80-as porton erheto el, ezer kikommenteztem
#-A INPUT -p tcp -m tcp --dport 52580 -j ACCEPT​
#ISymphony webes portja, amennyiben be van kapcsolva a modul
-A INPUT -p tcp -m tcp --dport ​58080 -j ACCEPT
#IAX2 port, csak abban az esetben, hogyha van IAX kliens beallitva, csak UDP-n erheto el
-A INPUT -p udp -m udp --dport 4569 -j ACCEPT
# sip.ephone.hu, abban az esetben, hogyha van ephone-os trunk, ellenkezo esetben trunkonkent kulon erdemes engedni a szolgaltato IP-jet, amennyiben sip trunkrol van szo
-A INPUT -s 82.150.61.51/32 -p udp -m udp --dport 5060:5061 -j ACCEPT
#ebben a peldaban beengedunk minden forgalmat az 5060-as portra, hogyha vannak 'vandor' kliensek, akik kintrol is csatlakoznak.
#egyes esetekben az 5061-et is engedni kell, az a titkositott SIP port, szinten UDP-n
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
#hibas, vagy kamu user-agent-eket, hibas kereseket kitiltjuk az 5060-5061-es port tartomanybol
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "User-Agent: VaxSIPUserAgent" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "User-Agent: friendly-scanner" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIP --rsource
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 12 --rttl --name VOIP --rsource -j DROP
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 12 --rttl --name VOIPINV --rsource -j DROP
#ebben a peldaban az SSH a 9222, nem szabad elfelejteni atirni fail2ban-ba is az ssh portot, hogyha alternativ van beallitva
-A INPUT -p tcp -m tcp --dport 9222 -j ACCEPT
#alap 80-as port, a webinterface-hez
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#HTTPS
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#a mar meglevo kapcsolatokat tovabb engedjük
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#a fenti szabalyokban nem letezo bejovo csomagokat eldobaljuk
-A INPUT -j DROP
#minden kimeno csomagot atengedunk kerdes nelkul
-A OUTPUT -j ACCEPT

Tags:

Your name:
Title:
Comment:
Security Code
Enter the code shown above in the box below
Add Comment    Cancel  
 

 

Discount offer

 I’ve already tried several providers. Currently all of our projects are placed at MOLEHAND, because they provide real services not only a piece of a computer. Any kind of new problem crops up, I can always count on a fast and expert reaction.