با سلام خدمت دوستان،
نمونه iptable پیادهسازی شده برای بالا بردن امنیت سیستمهای ویپ که میتونید توی سیستمتون ازش استفاده کنید
فایل iptable-on
*filter
:INPUT ACCEPT
-A INPUT -s local network (sample 192.168.1.0/24) -j ACCEPT
-A INPUT -s IP Trunks (sample 185.98.113.0/24 = asiatech) -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Yealink" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: MicroSIP" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "MicroSIP" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Simotel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "Server: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m conntrack --ctstate NEW -m string --string "User-Agent: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m conntrack --ctstate NEW -m string --string "Server: SimoTel" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Zoiper" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-agent: eyeBeam" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Z" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Grandstream" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Htek" --algo bm --to 65535 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -m string --string "User-Agent: Akuvox" --algo bm --to 65535 -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p udp --dport 5060 -j DROP
-A INPUT -s ip gateway (sample:192.168.1.1) -p udp --dport 5060 -j DROP
COMMIT
پس از ایجاد فایل و ذخیره آن میتوانید با دستور iptable-restore فایل مربوطه را فعال کنید،برای مثال
iptable-restore /etc/iptable-on
فایل iptable-off
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
COMMIT
برای غیرفعال سازی نیز از دستور iptable-restore استفاده کنید،برای نمونه
iptable-restore /etc/iptable-off
در نظر داشته باشید که هدف از راهاندازی این فایروال بالا بردن امنیت سیستم میباشد و برای جلوگیری کامل از حملات ویپ نیاز میباشد از فایروالهای مخصوص ویپ(SBC) استفاده نمایید.
1 پسندیده
SSH
آگوست 24, 2021, 8:33ق.ظ
2
سلام و درود
البته رول مربوط به گیتوی باید در سطر اول باشه
چون باتوجه به اینکه رول اول شبکه داخلی هست عملا بی تاثیر میکنه اون مورد رو
چند تا کامند هم مفید هست
iptabels -F
پاککردن تمامی رول ها
iptabels -nvL --line-number
نمایش رول های موجود همراه با تعداد پکتی که با اون رول match شده
2 پسندیده
همچنین در نظر داشته باشید داشتن user agent های متعدد و بدون استفاده میتواند زیان بار هم باشد
لذا تا حد امکان user agent سافت فون یا ای پی فون هایی که استفاده میکنید رو داخل ip table نگه داری کنید
2 پسندیده
سلام همچنین اگر میخواهیم بعد از ریبوت شدن سیستم عامل همچنان IP Tabel فعال بماند باید دستور زیر را :
iptable-restore /etc/iptable-on
در مسیر زیر (دستور ویرایش متن nano) کپی کنیم:
nano /etc/rc.local
و تغییرات را با کلید های ترکیبی Ctrl + X ذخیره کنیم
1 پسندیده
SSH
نوامبر 16, 2021, 10:31ب.ظ
5
لیست برخی از ip های ایران برای اضافه کردن به iptable
**
#IR-MCI
-A INPUT -s 113.203.0.0/16 -j ACCEPT
-A INPUT -s 158.58.0.0/18 -j ACCEPT
-A INPUT -s 158.58.64.0/18 -j ACCEPT
-A INPUT -s 172.80.128.0/19 -j ACCEPT
-A INPUT -s 37.129.192.0/18 -j ACCEPT
-A INPUT -s 172.80.160.0/19 -j ACCEPT
-A INPUT -s 172.80.192.0/19 -j ACCEPT
-A INPUT -s 172.80.224.0/20 -j ACCEPT
-A INPUT -s 172.80.240.0/21 -j ACCEPT
-A INPUT -s 172.80.248.0/22 -j ACCEPT
-A INPUT -s 172.80.252.0/24 -j ACCEPT
-A INPUT -s 172.80.253.0/24 -j ACCEPT
-A INPUT -s 172.80.254.0/23 -j ACCEPT
-A INPUT -s 185.131.56.0/22 -j ACCEPT
-A INPUT -s 185.5.156.0/24 -j ACCEPT
-A INPUT -s 185.5.157.0/24 -j ACCEPT
-A INPUT -s 185.5.158.0/24 -j ACCEPT
-A INPUT -s 185.5.159.0/24 -j ACCEPT
-A INPUT -s 188.229.0.0/18 -j ACCEPT
-A INPUT -s 188.229.64.0/18 -j ACCEPT
-A INPUT -s 185.122.130.0/24 -j ACCEPT
-A INPUT -s 37.129.128.0/18 -j ACCEPT
-A INPUT -s 37.129.64.0/18 -j ACCEPT
-A INPUT -s 83.123.0.0/18 -j ACCEPT
-A INPUT -s 83.123.64.0/18 -j ACCEPT
-A INPUT -s 83.123.128.0/18 -j ACCEPT
-A INPUT -s 37.129.0.0/18 -j ACCEPT
-A INPUT -s 83.123.192.0/18 -j ACCEPT
-A INPUT -s 37.129.192.0/18 -j ACCEPT
-A INPUT -s 82.122.0.0/16 -j ACCEPT
-A INPUT -s 83.122.64.0/18 -j ACCEPT
-A INPUT -s 83.122.0.0/18 -j ACCEPT
-A INPUT -s 80.120.0.0/14 -j ACCEPT
-A INPUT -s 83.122.192.0/18 -j ACCEPT
-A INPUT -s 83.122.128.0/18 -j ACCEPT
-A INPUT -s 191.96.97.0/24 -j ACCEPT
-A INPUT -s 37.129.128.0/18 -j ACCEPT
-A INPUT -s 5.126.144.0/20 -j ACCEPT
#Irancell
-A INPUT -s 5.22.0.0/17 -j ACCEPT
-A INPUT -s 5.22.192.0/19 -j ACCEPT
-A INPUT -s 5.23.112.0/21 -j ACCEPT
-A INPUT -s 5.28.32.0/21 -j ACCEPT
-A INPUT -s 5.28.192.0/18 -j ACCEPT
-A INPUT -s 5.34.192.0/19 -j ACCEPT
-A INPUT -s 5.52.0.0/16 -j ACCEPT
-A INPUT -s 5.53.32.0/19 -j ACCEPT
-A INPUT -s 5.125.224.0/20 -j ACCEPT
-A INPUT -s 5.56.128.0/22 -j ACCEPT
-A INPUT -s 5.57.32.0/21 -j ACCEPT
-A INPUT -s 5.61.24.0/24 -j ACCEPT
-A INPUT -s 5.61.25.0/24 -j ACCEPT
-A INPUT -s 5.61.26.0/24 -j ACCEPT
-A INPUT -s 5.61.29.0/24 -j ACCEPT
-A INPUT -s 5.61.30.0/24 -j ACCEPT
-A INPUT -s 5.61.31.0/24 -j ACCEPT
-A INPUT -s 5.61.72.0/21 -j ACCEPT
-A INPUT -s 5.62.60.176/30 -j ACCEPT
-A INPUT -s 5.62.62.168/30 -j ACCEPT
-A INPUT -s 5.62.160.0/19 -j ACCEPT
-A INPUT -s 5.63.8.0/21 -j ACCEPT
-A INPUT -s 5.72.0.0/14 -j ACCEPT
-A INPUT -s 5.78.0.0/16 -j ACCEPT
-A INPUT -s 5.102.32.0/20 -j ACCEPT
-A INPUT -s 5.106.0.0/16 -j ACCEPT
-A INPUT -s 5.112.0.0/16 -j ACCEPT
-A INPUT -s 5.134.128.0/18 -j ACCEPT
-A INPUT -s 5.134.192.0/22 -j ACCEPT
-A INPUT -s 5.134.196.0/22 -j ACCEPT
-A INPUT -s 5.144.128.0/21 -j ACCEPT
-A INPUT -s 5.145.112.0/21 -j ACCEPT
-A INPUT -s 5.159.48.0/21 -j ACCEPT
-A INPUT -s 5.160.0.0/15 -j ACCEPT
-A INPUT -s 5.189.204.0/25 -j ACCEPT
-A INPUT -s 5.190.0.0/16 -j ACCEPT
-A INPUT -s 5.198.160.0/19 -j ACCEPT
-A INPUT -s 5.200.64.0/21 -j ACCEPT
-A INPUT -s 5.200.128.0/18 -j ACCEPT
-A INPUT -s 5.126.80.0/20 -j ACCEPT
-A INPUT -s 5.125.240.0/20 -j ACCEPT
-A INPUT -s 5.125.144.0/20 -j ACCEPT
-A INPUT -s 5.112.0.0/12 -j ACCEPT
-A INPUT -s 5.125.64.0/20 -j ACCEPT
-A INPUT -s 151.243.0.0/18 -j ACCEPT
-A INPUT -s 5.126.240.0/20 -j ACCEPT
-A INPUT -s 5.126.192.0/20 -j ACCEPT
-A INPUT -s 5.126.0.0/20 -j ACCEPT
-A INPUT -s 5.125.112.0/20 -j ACCEPT
-A INPUT -s 5.126.192.0/18 -j ACCEPT
-A INPUT -s 5.126.224.0/20 -j ACCEPT
-A INPUT -s 5.125.208.0/20 -j ACCEPT
-A INPUT -s 5.126.96.0/20 -j ACCEPT
-A INPUT -s 5.126.112.0/20 -j ACCEPT
-A INPUT -s 5.125.48.0/20 -j ACCEPT
-A INPUT -s 5.125.80.0/20 -j ACCEPT
-A INPUT -s 5.126.48.0/20 -j ACCEPT
-A INPUT -s 164.215.216.0/22 -j ACCEPT
-A INPUT -s 5.126.48.0/20 -j ACCEPT
-A INPUT -s 5.126.54.74 -j ACCEPT
-A INPUT -s 5.125.96.0/20 -j ACCEPT
-A INPUT -s 138.197.192.0/20 -j ACCEPT
-A INPUT -s 89.165.64.0/18 -j ACCEPT
-A INPUT -s 5.126.176.0/20 -j ACCEPT
-A INPUT -s 5.125.96.0/20 -j ACCEPT
#Rightel
-A INPUT -s 89.32.96.0/21 -j ACCEPT
#Sabanet
-A INPUT -s 188.159.128.0/18 -j ACCEPT
-A INPUT -s 188.158.96.0/20 -j ACCEPT
-A INPUT -s 5.126.160.0/20 -j ACCEPT
-A INPUT -s 5.125.16.0/20 -j ACCEPT
-A INPUT -s 89.44.190.0/23 -j ACCEPT
#Mokhaberat
-A INPUT -s 2.180.128.0/17 -j ACCEPT
-A INPUT -s 151.243.0.0/18 -j ACCEPT
-A INPUT -s 31.14.144.0/20 -j ACCEPT
#َAsiatech
-A INPUT -s 164.215.252.0/22 -j ACCEPT
-A INPUT -s 164.215.204.0/22 -j ACCEPT
-A INPUT -s 164.215.208.0/22 -j ACCEPT
-A INPUT -s 164.215.232.0/22 -j ACCEPT
**
2 پسندیده