サーラリマンは働き過ぎ、社畜化に注意しよう!!

asterisk 必要なポートだけを開いて自分自身を保護します(そして認証時の総当たり攻撃を制限します)。

asterisk

無料のPBXホストサーバーの規則
IPテーブルの規則
必要なポートだけを開いて自分自身を保護します(そして認証時の総当たり攻撃を制限します)。

-A INPUT -p udp -m multiport –dports 5060,5061 -m set –match-set fail2ban-ASTERISK src -j REJECT –reject-with icmp-port-unreachable
-A INPUT -p tcp -m multiport –dports 5060,5061 -m set –match-set fail2ban-ASTERISK src -j REJECT –reject-with icmp-port-unreachable
-A INPUT -p tcp -m multiport –dports 22 -j fail2ban-ssh
-A INPUT -m set –match-set voip_bl src -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT
-A INPUT -p udp -m udp –dport 2727 -j ACCEPT
-A INPUT -p udp -m udp –dport 4569 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p udp -m udp –dport 5060:5061 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 5060:5061 -j ACCEPT
-A INPUT -s known_external_proxy -p udp -m udp –dport 5060:5061 -j ACCEPT
-A INPUT -p udp -m udp –dport 5060:5061 -m string –string “User-Agent: VaxSIPUserAgent” –algo bm –to 65535 -j DROP
-A INPUT -p udp -m udp –dport 5060:5061 -m string –string “User-Agent: friendly-scanner” –algo bm –to 65535 -j REJECT –reject-with icmp-port-unreachable
-A INPUT -p udp -m udp –dport 5060:5061 -m string –string “REGISTER sip:” –algo bm –to 65535 -m recent –set –name VOIP –rsource
-A INPUT -p udp -m udp –dport 5060:5061 -m string –string “REGISTER sip:” –algo bm –to 65535 -m recent –update –seconds 60 –hitcount 12 –rttl –name VOIP –mask 255.255.255.255 –rsource -j DROP
-A INPUT -p udp -m udp –dport 5060:5061 -m string –string “INVITE sip:” –algo bm –to 65535 -m recent –set –name VOIPINV –rsource
-A INPUT -p udp -m udp –dport 5060:5061 -m string –string “INVITE sip:” –algo bm –to 65535 -m recent –update –seconds 60 –hitcount 12 –rttl –name VOIPINV –mask 255.255.255.255 –rsource -j DROP
-A INPUT -p tcp -m tcp –dport 5060:5061 -m hashlimit –hashlimit-upto 6/sec –hashlimit-burst 5 –hashlimit-mode srcip,dstport –hashlimit-name tunnel_limit -j ACCEPT
-A INPUT -p udp -m udp –dport 5060:5061 -m hashlimit –hashlimit-upto 6/sec –hashlimit-burst 5 –hashlimit-mode srcip,dstport –hashlimit-name tunnel_limit -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p icmp -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 137 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 138 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 139 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 445 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 10000 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 123 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p udp -m udp –dport 123 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 5038 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 58080 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 55050 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 443 -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 514 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p udp -m udp –dport 514 -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -j ACCEPT
注1: xxx.xxx.xxx.xxx/24をローカルネットワークに置き換え ます(例:192.168.1.0/24)

注意2:-s xxx.xxx.xxx.xxx/24を使用すると、パブリックルーターを介して誤ってそのポートを開いても、パブリックホストには応答せず、イントラネット上のホストにのみ応答するようになります。

注3:5060:5061を一般に公開することは、クライアントがインターネットからシステムに接続する必要がある場合にのみ必要です。これを避けることができる場合(例えば、すべてのクライアントがローカルの固定電話である、またはVPNを使用しているなど)、すべての5060:5061パブリックアクセス制御を削除し、代わりにイントラネットへのアクセスを制限することで置き換えます。

-A INPUT -s xxx.xxx.xxx.xxx/24 -p udp -m udp –dport 5060 -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/24 -p tcp -m tcp –dport 5060 -j ACCEPT

コメント