Asterisk + IPTables

Asterisk + IPTables

В этой статье рассматривается простой пример конфигурации iptables для работы с Asterisk под операционной системой Debian 9. Для того, чтобы начать конфигурацию iptables, необходимо для начала настроить fail2ban.

Установим iptables и необходимые зависимости для автозагрузки правил после перезапуска системы:

apt-get install iptables ipset netfilter-persistent

1. Настроим iptables

Создадим файл с правилами, которые будут использоваться и запускаться после перезапуска системы /etc/iptables/rules.v4 для iptables и /etc/iptables/ipset-rules.v4 для ipset. Это файл у вас должен быть после установки пакета netfilter-persistent. Изменяем содержимое файла:

2. Настроим ipset.

Данный пакет является надстройкой к iptables и будет служить для блокировки CIDR или конкретного IP адреса. Действия в iptables будут выполняться следующими параметрами:
Создадим семейство блокировки CIDR:

ipset -N badnets nethash

Создадим семейство блокировки IP адреса:

ipset -N badips iphash

В iptables мы уже подгрузили наш ipset:

-A INPUT -m set --match-set badnets src -j blocked_traffic
-A INPUT -m set --match-set badips src -j blocked_traffic
-A blocked_traffic -j DROP

badnets – семейство ipset для блокировки CIDR
badips – семейство ipset для блокировки IP адреса

3. Настроим скрипт сохранения наших правил iptables и ipset.

Правила будут сохранятся одновременно после ввода команды от пользователя root
netfilter-persistent save.

Скрипт находится по адресу /usr/share/netfilter-persistent/plugins.d/15-ip4tables. Все правила IPv6 я удалил, так как не использую. Итак правим следующим образом:
В правила ipset можно смело добавить следующие правила, которые блокируют AfriNIC, APNIC, ARIN, LACNIC и часть RIPENCC. Итак, редактируем файл /etc/iptables/ipset-rules.v4:

create badnets hash:net family inet hashsize 1024 maxelem 65536
add badnets 1.0.0.0/8
add badnets 16.0.0.0/8
create badips hash:ip family inet hashsize 1024 maxelem 65536

На этом все. Для обеспечения полноценной безопасности Вашей системой мы рекомендуем воспользоваться нашим продуктом PRO.FRAUD


Любое использование материалов сайта возможно только с разрешения автора и с обязательным указанием источника.