Хочу представить вашему вниманию простой и понятный shell-скрипт, который нужно лишь слегка подредактировать и затем запустить — и брандмауэр на вашем asterisk-сервере будет настроен без лишних сложностей.
Создайте shell-скрипт со следующим содержимым (не забудьте chmod 755):
# Создаём базовые правила iptables -P INPUT ACCEPT iptables -F iptables -A INPUT -i lo -j ACCEPT # Если мы полностью доверяем сети, подключенной к eth0 - строчку ниже можно раскомментировать # iptables -A INPUT -i eth0 -j ACCEPT # Не трогаем уже установленные соединений iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем SSH iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Добавляем правило - заблокировать всё кроме указанного ниже iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Разрешаем HTTPS (если используем админку типа FreePBX) # iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Разрешаем SIP только с указанных адресов и диапазонов # iptables -A INPUT -p udp -m udp -s 123.123.123.123 --dport 5060 -j ACCEPT # iptables -A INPUT -p udp -m udp -s 125.125.125.125 --dport 5060 -j ACCEPT # iptables -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 5060 -j ACCEPT # Либо разрешаем SIP с любого адреса # iptables -A INPUT -p udp -m udp --dport 5060 -j ACCEPT # Разрешаем RTP iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT # Разрешаем IAX2 с указанного адреса # iptables -A INPUT -p udp -m udp -s 192.168.1.1 --dport 4569 -j ACCEPT # Или разрешам IAX2 с любого адреса # iptables -A INPUT -p udp -m udp --dport 4569 -j ACCEPT # Защита от SIP flood iptables -A INPUT -p udp --dport 5060 -m recent --set --name SIP iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 2 --hitcount 20 --name SIP -j LOG --log-level INFO --log-prefix "SIP flood detected: " Если у вас CentOS подобная ОС — то после запуска скрипта нужно набрать
service iptables save
service iptables start
ссылка на оригинал статьи http://habrahabr.ru/post/200636/
Добавить комментарий