MOLEHAND Solutions - Nagyvállalati megoldások mindenkinek

 
jún. 8

Written by: MOLEHAND
2016. 06. 08. 17:41

A lenti szabály példa annyival tér el egy általános szervertől, hogy itt az Asterisk szolgáltatásokon van a hangsúly. 

A szabályt úgy értelmezzük, hogy alapértelmezetten az OUTPUT szabály engedélyezve, az INPUT szabály "eldob"-ra van állítva a FORWARD-dal egyetemben:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Természetesen a fenti 3 parancssori parancsot csak is kizárólag azután futassuk le, miután megbizonyosodtunk arról, hogy a már felvett szabályok hibátlanok, ellenkező estben kizárhatjuk magunkat az "INPUT DROP" paranccsal egyből a parancs kiadását követően. Abban az esetben nem lesz elérhető a gép távolról!

A lenti példa copy+paste alkalmas az "iptables-restore" ​paranccsal használható:

#loopback interface-en minden forgalmat engedelyezunk
-A INPUT -i lo -j ACCEPT
#RTP portok, amelyen keresztül folyik a SIP hang
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
#52580-as TCP port a User Control Panel portja, egyes PBX disztok kulon portra allitjak ba, ujabb distroknal a 80-as porton erheto el, ezer kikommenteztem
#-A INPUT -p tcp -m tcp --dport 52580 -j ACCEPT​
#ISymphony webes portja, amennyiben be van kapcsolva a modul
-A INPUT -p tcp -m tcp --dport ​58080 -j ACCEPT
#IAX2 port, csak abban az esetben, hogyha van IAX kliens beallitva, csak UDP-n erheto el
-A INPUT -p udp -m udp --dport 4569 -j ACCEPT
# sip.ephone.hu, abban az esetben, hogyha van ephone-os trunk, ellenkezo esetben trunkonkent kulon erdemes engedni a szolgaltato IP-jet, amennyiben sip trunkrol van szo
-A INPUT -s 82.150.61.51/32 -p udp -m udp --dport 5060:5061 -j ACCEPT
#ebben a peldaban beengedunk minden forgalmat az 5060-as portra, hogyha vannak 'vandor' kliensek, akik kintrol is csatlakoznak.
#egyes esetekben az 5061-et is engedni kell, az a titkositott SIP port, szinten UDP-n
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
#hibas, vagy kamu user-agent-eket, hibas kereseket kitiltjuk az 5060-5061-es port tartomanybol
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "User-Agent: VaxSIPUserAgent" --algo bm --to 65535 -j DROP
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "User-Agent: friendly-scanner" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --set --name VOIP --rsource
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "REGISTER sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 12 --rttl --name VOIP --rsource -j DROP
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --set --name VOIPINV --rsource
-A INPUT -p udp -m udp --dport 5060:5061 -m string --string "INVITE sip:" --algo bm --to 65535 -m recent --update --seconds 60 --hitcount 12 --rttl --name VOIPINV --rsource -j DROP
#ebben a peldaban az SSH a 9222, nem szabad elfelejteni atirni fail2ban-ba is az ssh portot, hogyha alternativ van beallitva
-A INPUT -p tcp -m tcp --dport 9222 -j ACCEPT
#alap 80-as port, a webinterface-hez
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#HTTPS
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#a mar meglevo kapcsolatokat tovabb engedjük
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#a fenti szabalyokban nem letezo bejovo csomagokat eldobaljuk
-A INPUT -j DROP
#minden kimeno csomagot atengedunk kerdes nelkul
-A OUTPUT -j ACCEPT

Tags:

Your name:
Title:
Comment:
Security Code
Enter the code shown above in the box below
Add Comment    Mégsem  
 

Számítsa ki költségeit
  kalkulátorunkkal

tovább    

és nyerje meg
50 000 Ft értékű

ajándékunkat  

Akciós ajánlatunk

 Több szolgáltatót is volt szerencsém kipróbálni. Jelenleg minden projektünk a MOLEHAND-nél van elhelyezve, mert Ők nem csak egy szelet számítógépet adnak, hanem valódi szolgáltatást: Akármibe ütközök számíthatok a gyors és szakszerű reakcióra!