Страница 2 из 2
Re: Китайский фильтр
Добавлено: 21 сен 2010, 17:02
Zebar
А не проще ли сходить сюда:
http://www.iana.org/assignments/ipv4-ad ... -space.xml
Выбрать диапазоны, которые относятся, например, к африке и ЮВА, и их сразу забанить?
Например:
-A INPUT -s 41.0.0.0/8 -j DROP
-A INPUT -s 154.0.0.0/8 -j DROP
-A INPUT -s 196.0.0.0/7 -j DROP.
Re: Китайский фильтр
Добавлено: 22 сен 2010, 07:33
zzuz
fail2ban в помощь.
Re: Китайский фильтр
Добавлено: 22 сен 2010, 10:20
ded
zzuz, fail2ban - это защита от подбора паролей при регистрации. Не помогает, если идёт протыркивание по диалплану, по теме anonymous SIP calls, то faail2ban не поможет. Многих это пугает - кучи записей CDR с назначением s (где система говорит в общем то ss-noservice), и вот тогда - черный список.
Re: Китайский фильтр
Добавлено: 23 сен 2010, 10:24
zzuz
Ну мы же понимаем , что anonymous SIP calls - зло еще то.
Собирать коллекцию дропов разных сетей тоже вариант , но корректно настроить станцию и поставить более менее динамическую защиту - думаю более правильней. Тем более не исключается сам человеческий фактор , когда при новой инсталляции забывают вписать эти самые сети в таблицу фаервола , а потом ждут радостных логов и начинают рвать и метать , когда поздно. Да и читают про эти самые брутфорсы единицы и те , кого уже забрутфорсили. Взять даже то , что половина (как бы не все 70-80%) поставивших триксбокс или эластикс не меняют дефолтные пароли от базы данных (юзер - asteriskuser ), куда можно нарисовать всё , что угодно, подождав выполнения retriev_conf.
Re: Китайский фильтр
Добавлено: 23 сен 2010, 12:30
kay
> anonymous SIP calls - зло еще то.
просто sip.conf
allowguest=no
И никаких левых записей в CDRe
Re: Китайский фильтр
Добавлено: 10 окт 2010, 16:06
SolarW
Нда, что-то последнее время народ как с ума посходил...
Машинка с астериской, баня настроена на сутки:
Код: Выделить всё
iptables -v -L
Chain INPUT (policy ACCEPT 1387K packets, 280M bytes)
pkts bytes target prot opt in out source destination
3707 357K fail2ban-BadBots tcp -- any any anywhere anywhere multiport dports http,https
14 576 fail2ban-ProFTPD tcp -- any any anywhere anywhere tcp dpt:ftp
1523K 344M fail2ban-ASTERISK all -- any any anywhere anywhere
4569 451K fail2ban-SSH tcp -- any any anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1582K packets, 307M bytes)
pkts bytes target prot opt in out source destination
Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
59 22882 DROP all -- any any 201.86.148.166.dynamic.adsl.gvt.net.br anywhere
137 50678 DROP all -- any any 95.111.173.206 anywhere
4290 1747K DROP all -- any any gateway2.apollohospitals.com anywhere
6242 2489K DROP all -- any any mail.calvoatac.com.br anywhere
5814 2372K DROP all -- any any c-98-245-166-144.hsd1.co.comcast.net anywhere
1579 624K DROP all -- any any host-195.88.254.50.broadband.realtime.am anywhere
6749 2690K DROP all -- any any 41.102.201.230 anywhere
9985 3982K DROP all -- any any 213.244.123.27 anywhere
599 239K DROP all -- any any 115.118.160.150.static-ttsl-hyderabad.vsnl.net.in anywhere
1967 779K DROP all -- any any 18778119025.telemar.net.br anywhere
967 380K DROP all -- any any 178.175.98.250 anywhere
10010 3966K DROP all -- any any 118.70.132.35 anywhere
1502 593K DROP all -- any any 221-135-126-74.sify.net anywhere
2041 809K DROP all -- any any 113.20.18.14 anywhere
1504 594K DROP all -- any any 244-37-134-95.pool.ukrtel.net anywhere
7146 2849K DROP all -- any any 189106122231.user.veloxzone.com.br anywhere
2712 1077K DROP all -- any any 82.213.32.2 anywhere
9948 4097K DROP all -- any any dsl.static212156245138.ttnet.net.tr anywhere
9856 3931K DROP all -- any any 187-5-120-106.gnace704.e.brasiltelecom.net.br anywhere
234 91466 DROP all -- any any 151.static.118-96-100.astinet.telkom.net.id anywhere
9739 3884K DROP all -- any any 201-249-17-240.dyn.dsl.cantv.net anywhere
9973 3978K DROP all -- any any 113.162.60.222 anywhere
2756 1095K DROP all -- any any 41.199.158.220 anywhere
189 73817 DROP all -- any any 113.53.27.182 anywhere
894 351K DROP all -- any any 60.53.210.5 anywhere
1480 585K DROP all -- any any 109-194-164-224.pppoe.samara.ertelecom.ru anywhere
9962 3973K DROP all -- any any bd3ffa7f.virtua.com.br anywhere
571 224K DROP all -- any any 113.162.74.23 anywhere
867 341K DROP all -- any any 201-13-34-207.dsl.telesp.net.br anywhere
977 384K DROP all -- any any 82.128.54.21 anywhere
1974 782K DROP all -- any any ABTS-North-Dynamic-059.146.173.122.airtelbroadband.in anywhere
5406 2154K DROP all -- any any dsl88-250-6750.ttnet.net.tr anywhere
2850 1152K DROP all -- any any 121.Red-83-34-103.dynamicIP.rima-tde.net anywhere
721 283K DROP all -- any any 85.26.164.238 anywhere
5119 2039K DROP all -- any any 83.142.111.238 anywhere
4550 1843K DROP all -- any any 41.209.119.31 anywhere
2290 908K DROP all -- any any 188.55.87.124 anywhere
360 141K DROP all -- any any 180.215.248.101 anywhere
2829 1166K DROP all -- any any 180.193.128.49 anywhere
277 108K DROP all -- any any 93.115.169.39 anywhere
259 101K DROP all -- any any 78.162.191.24 anywhere
566 222K DROP all -- any any 79-118-172-56.rdsnet.ro anywhere
2448 971K DROP all -- any any retail.dynamic.sify.net anywhere
2260 896K DROP all -- any any 208.static.118-96-248.astinet.telkom.net.id anywhere
817 326K DROP all -- any any 201-42-46-214.dsl.telesp.net.br anywhere
11 4306 DROP all -- any any 41.209.124.53 anywhere
1924 776K DROP all -- any any localhost anywhere
1918 760K DROP all -- any any 67-17.vgccl.net anywhere
434 170K DROP all -- any any 121.1.11.118 anywhere
516 202K DROP all -- any any 78-58-96-41.static.zebra.lt anywhere
2007 795K DROP all -- any any 85.117.224.49 anywhere
1015 399K DROP all -- any any 85-124-201-34.static.xdsl-line.inode.at anywhere
9980 3981K DROP all -- any any host-89-228-62-205.elk.mm.pl anywhere
750 295K DROP all -- any any 41.249.94.50 anywhere
1802 713K DROP all -- any any ABTS-MP-static-154.195.168.122.airtelbroadband.in anywhere
1343K 272M RETURN all -- any any anywhere anywhere
Chain fail2ban-BadBots (1 references)
pkts bytes target prot opt in out source destination
3707 357K RETURN all -- any any anywhere anywhere
Chain fail2ban-ProFTPD (1 references)
pkts bytes target prot opt in out source destination
14 576 RETURN all -- any any anywhere anywhere
Chain fail2ban-SSH (1 references)
pkts bytes target prot opt in out source destination
17 980 DROP all -- any any rain.tolerantsolutions.com anywhere
22 1192 DROP all -- any any 219.255.132.105 anywhere
17 980 DROP all -- any any 74-95-79-97-Delmarva.hfc.comcastbusiness.net anywhere
15 852 DROP all -- any any 173.200.42.226 anywhere
11 632 DROP all -- any any host133-191-static.52-88-b.business.telecomitalia.it anywhere
15 876 DROP all -- any any 206.173.10.29.ptr.us.xo.net anywhere
19 1084 DROP all -- any any c26-27-33-212.globus-telecom.com anywhere
11 632 DROP all -- any any 195.142.233.208 anywhere
17 980 DROP all -- any any mail.ana.gob.pe anywhere
28 1640 DROP all -- any any 64-120-190-90.hostnoc.net anywhere
4153 426K RETURN all -- any any anywhere anywhere
Re: Китайский фильтр
Добавлено: 12 окт 2010, 10:17
vlego
использовать iptables - дело не очень то благодарное. полностью согласен с вышесказанным - "так весь мир можно закрыть...". Как мне думается, было бы логичнее закрывать проблемы диалпланом, а для ext-ов (кот. регистрируются из вне) использовать выход в транк через ПИН. Если кто то подберет номер и пароль, то попадет в местную емкость - это не страшно,а подобрать ПИН (для совершения исходящих во внеш. мир) - будет очень хлопотно.
На форумах я не часто встречал то, чтобы народ пользовался для ext-ов правилами Permit - Deny , а ведь это существует для разграничения сеток из которых можно зарегистрироваться с неким ext-ом. В большенстве случаев, пользователей в офисе и т.п. которые регистрируются из внешнего мира - гораздо меньше. Т.о. можно локализовать опасные подключения из вне.
Re: Китайский фильтр
Добавлено: 12 окт 2010, 11:04
ded
Закрыть весь мир - это и есть формула стратегии "Белый список".
Такая стратегия успешно работает у многих наших клиентов. Она применима только через iptables, или через внешний firewall.
Её нельзя указать для ext-ов правилами Permit - Deny, потому что это
Deny 0.0.0.0./0.0.0.0.0
а в Permit нужно засовывать несколько сетей если наш внешний экст. - так называемый road warrior - перемещенец, коммивояжер.
Re: Китайский фильтр
Добавлено: 12 окт 2010, 11:34
vlego
а я и не предлагал указазывать эти правила для тех , кто перемещается по белому свету. как раз надо указать для тех, кто этим не занимается сузится - круг "подозреваемых" и как следствие изменится статистика перебора для программ-ломалочек. конечно, iptables - это мощное средство, но постоянно "пасти" ... это ужасно и случай крайний - если уж привязался кто то и не отстает....