نمونه فایل مربوط به iptables مرکزتماس سیموتل

Vsadrnia · سپتامبر 11, 2021, 5:11ب.ظ

با سلام خدمت دوستان،

نمونه iptable پیاده‌سازی شده برای بالا بردن امنیت سیستم‌های ویپ که می‌تونید توی سیستمتون ازش استفاده کنید

فایل iptable-on

*filter
:INPUT ACCEPT
-A INPUT -s local network (sample 192.168.1.0/24) -j ACCEPT
-A INPUT -s IP Trunks (sample 185.98.113.0/24 = asiatech) -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Yealink" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: MicroSIP" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "MicroSIP" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Simotel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "Server: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m conntrack --ctstate NEW -m string --string "User-Agent: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m conntrack --ctstate NEW -m string --string "Server: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Zoiper" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-agent: eyeBeam" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Z" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Grandstream" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Htek" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Akuvox" --algo bm --to 65535 -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p udp --dport 5060 -j DROP
-A INPUT -s ip gateway (sample:192.168.1.1) -p udp --dport 5060 -j DROP
COMMIT

پس از ایجاد فایل و ذخیره آن می‌توانید با دستور iptable-restore فایل مربوطه را فعال کنید،برای مثال

iptable-restore /etc/iptable-on

فایل iptable-off

*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
COMMIT

برای غیرفعال سازی نیز از دستور iptable-restore استفاده کنید،برای نمونه

iptable-restore /etc/iptable-off

در نظر داشته باشید که هدف از راه‌اندازی این فایروال بالا بردن امنیت سیستم می‌باشد و برای جلوگیری کامل از حملات ویپ نیاز می‌باشد از فایروال‌های مخصوص ویپ(SBC) استفاده نمایید.

SSH · آگوست 24, 2021, 8:33ق.ظ

سلام و درود
البته رول مربوط به گیتوی باید در سطر اول باشه
چون باتوجه به اینکه رول اول شبکه داخلی هست عملا بی تاثیر می‌کنه اون مورد رو
چند تا کامند هم‌ مفید هست

iptabels -F
پاک‌کردن تمامی رول ها

iptabels -nvL --line-number
نمایش رول های موجود همراه با تعداد پکتی که با اون رول match شده

m.moghadam · آگوست 24, 2021, 9:33ق.ظ

همچنین در نظر داشته باشید داشتن user agent های متعدد و بدون استفاده میتواند زیان بار هم باشد
لذا تا حد امکان user agent سافت فون یا ای پی فون هایی که استفاده میکنید رو داخل ip table نگه داری کنید

alireza.khoshkhabari · نوامبر 1, 2021, 1:04ب.ظ

سلام همچنین اگر میخواهیم بعد از ریبوت شدن سیستم عامل همچنان IP Tabel فعال بماند باید دستور زیر را :

iptable-restore /etc/iptable-on

در مسیر زیر (دستور ویرایش متن nano) کپی کنیم:

nano /etc/rc.local

و تغییرات را با کلید های ترکیبی Ctrl + X ذخیره کنیم

SSH · نوامبر 16, 2021, 10:31ب.ظ

لیست برخی از ip های ایران برای اضافه کردن به iptable

**
#IR-MCI
-A INPUT -s 113.203.0.0/16  -j ACCEPT
-A INPUT -s 158.58.0.0/18 -j ACCEPT
-A INPUT -s 158.58.64.0/18 -j ACCEPT
-A INPUT -s 172.80.128.0/19 -j ACCEPT
-A INPUT -s 37.129.192.0/18 -j ACCEPT
-A INPUT -s 172.80.160.0/19 -j ACCEPT
-A INPUT -s 172.80.192.0/19 -j ACCEPT
-A INPUT -s 172.80.224.0/20 -j ACCEPT
-A INPUT -s 172.80.240.0/21 -j ACCEPT
-A INPUT -s 172.80.248.0/22 -j ACCEPT
-A INPUT -s 172.80.252.0/24 -j ACCEPT
-A INPUT -s 172.80.253.0/24 -j ACCEPT
-A INPUT -s 172.80.254.0/23 -j ACCEPT
-A INPUT -s 185.131.56.0/22 -j ACCEPT
-A INPUT -s 185.5.156.0/24 -j ACCEPT
-A INPUT -s 185.5.157.0/24 -j ACCEPT
-A INPUT -s 185.5.158.0/24 -j ACCEPT
-A INPUT -s 185.5.159.0/24 -j ACCEPT
-A INPUT -s 188.229.0.0/18 -j ACCEPT
-A INPUT -s 188.229.64.0/18 -j ACCEPT
-A INPUT -s 185.122.130.0/24 -j ACCEPT
-A INPUT -s 37.129.128.0/18 -j ACCEPT
-A INPUT -s 37.129.64.0/18 -j ACCEPT
-A INPUT -s 83.123.0.0/18 -j ACCEPT
-A INPUT -s 83.123.64.0/18 -j ACCEPT
-A INPUT -s 83.123.128.0/18 -j ACCEPT
-A INPUT -s 37.129.0.0/18 -j ACCEPT
-A INPUT -s 83.123.192.0/18 -j ACCEPT
-A INPUT -s 37.129.192.0/18 -j ACCEPT
-A INPUT -s 82.122.0.0/16 -j ACCEPT
-A INPUT -s 83.122.64.0/18 -j ACCEPT
-A INPUT -s 83.122.0.0/18 -j ACCEPT
-A INPUT -s 80.120.0.0/14 -j ACCEPT
-A INPUT -s 83.122.192.0/18 -j ACCEPT
-A INPUT -s 83.122.128.0/18 -j ACCEPT
-A INPUT -s 191.96.97.0/24 -j ACCEPT
-A INPUT -s 37.129.128.0/18 -j ACCEPT
-A INPUT -s 5.126.144.0/20 -j ACCEPT



#Irancell
-A INPUT -s 5.22.0.0/17 -j ACCEPT
-A INPUT -s 5.22.192.0/19 -j ACCEPT
-A INPUT -s 5.23.112.0/21 -j ACCEPT
-A INPUT -s 5.28.32.0/21 -j ACCEPT
-A INPUT -s 5.28.192.0/18 -j ACCEPT
-A INPUT -s 5.34.192.0/19 -j ACCEPT
-A INPUT -s 5.52.0.0/16 -j ACCEPT
-A INPUT -s 5.53.32.0/19 -j ACCEPT
-A INPUT -s 5.125.224.0/20 -j ACCEPT
-A INPUT -s 5.56.128.0/22 -j ACCEPT
-A INPUT -s 5.57.32.0/21 -j ACCEPT
-A INPUT -s 5.61.24.0/24 -j ACCEPT
-A INPUT -s 5.61.25.0/24 -j ACCEPT
-A INPUT -s 5.61.26.0/24 -j ACCEPT
-A INPUT -s 5.61.29.0/24 -j ACCEPT
-A INPUT -s 5.61.30.0/24 -j ACCEPT
-A INPUT -s 5.61.31.0/24 -j ACCEPT
-A INPUT -s 5.61.72.0/21 -j ACCEPT
-A INPUT -s 5.62.60.176/30 -j ACCEPT
-A INPUT -s 5.62.62.168/30 -j ACCEPT
-A INPUT -s 5.62.160.0/19 -j ACCEPT
-A INPUT -s 5.63.8.0/21 -j ACCEPT
-A INPUT -s 5.72.0.0/14 -j ACCEPT
-A INPUT -s 5.78.0.0/16 -j ACCEPT
-A INPUT -s 5.102.32.0/20 -j ACCEPT
-A INPUT -s 5.106.0.0/16 -j ACCEPT
-A INPUT -s 5.112.0.0/16 -j ACCEPT
-A INPUT -s 5.134.128.0/18 -j ACCEPT
-A INPUT -s 5.134.192.0/22 -j ACCEPT
-A INPUT -s 5.134.196.0/22 -j ACCEPT
-A INPUT -s 5.144.128.0/21 -j ACCEPT
-A INPUT -s 5.145.112.0/21 -j ACCEPT
-A INPUT -s 5.159.48.0/21 -j ACCEPT
-A INPUT -s 5.160.0.0/15 -j ACCEPT
-A INPUT -s 5.189.204.0/25 -j ACCEPT
-A INPUT -s 5.190.0.0/16 -j ACCEPT
-A INPUT -s 5.198.160.0/19 -j ACCEPT
-A INPUT -s 5.200.64.0/21 -j ACCEPT
-A INPUT -s 5.200.128.0/18 -j ACCEPT
-A INPUT -s 5.126.80.0/20 -j ACCEPT
-A INPUT -s 5.125.240.0/20 -j ACCEPT
-A INPUT -s 5.125.144.0/20 -j ACCEPT
-A INPUT -s 5.112.0.0/12 -j ACCEPT
-A INPUT -s 5.125.64.0/20 -j ACCEPT
-A INPUT -s 151.243.0.0/18 -j ACCEPT
-A INPUT -s 5.126.240.0/20 -j ACCEPT
-A INPUT -s 5.126.192.0/20 -j ACCEPT
-A INPUT -s 5.126.0.0/20 -j ACCEPT
-A INPUT -s 5.125.112.0/20 -j ACCEPT
-A INPUT -s 5.126.192.0/18 -j ACCEPT
-A INPUT -s 5.126.224.0/20 -j ACCEPT
-A INPUT -s 5.125.208.0/20 -j ACCEPT
-A INPUT -s 5.126.96.0/20 -j ACCEPT
-A INPUT -s 5.126.112.0/20 -j ACCEPT
-A INPUT -s 5.125.48.0/20 -j ACCEPT
-A INPUT -s 5.125.80.0/20 -j ACCEPT
-A INPUT -s 5.126.48.0/20 -j ACCEPT
-A INPUT -s 164.215.216.0/22 -j ACCEPT
-A INPUT -s 5.126.48.0/20 -j ACCEPT
-A INPUT -s 5.126.54.74 -j ACCEPT
-A INPUT -s 5.125.96.0/20 -j ACCEPT
-A INPUT -s 138.197.192.0/20 -j ACCEPT
-A INPUT -s 89.165.64.0/18 -j ACCEPT
-A INPUT -s 5.126.176.0/20 -j ACCEPT
-A INPUT -s 5.125.96.0/20 -j ACCEPT





#Rightel
-A INPUT -s 89.32.96.0/21 -j ACCEPT

#Sabanet
-A INPUT -s 188.159.128.0/18 -j ACCEPT
-A INPUT -s 188.158.96.0/20 -j ACCEPT
-A INPUT -s 5.126.160.0/20 -j ACCEPT
-A INPUT -s 5.125.16.0/20 -j ACCEPT
-A INPUT -s 89.44.190.0/23 -j ACCEPT


#Mokhaberat
-A INPUT -s 2.180.128.0/17 -j ACCEPT
-A INPUT -s 151.243.0.0/18 -j ACCEPT
-A INPUT -s 31.14.144.0/20 -j ACCEPT


#َAsiatech
-A INPUT -s 164.215.252.0/22 -j ACCEPT
-A INPUT -s 164.215.204.0/22 -j ACCEPT
-A INPUT -s 164.215.208.0/22 -j ACCEPT
-A INPUT -s 164.215.232.0/22 -j ACCEPT

**