[Tutorial] Bloqueando acessos de IP's estrangeiros as portas importantes

[Jordan Miguel]

Segue aqui um pequeno script que criei a um tempo para fazer o bloqueio na 2082,2083,2086,2087,portaSSH:

Primeiramente, digite no seu Terminal:

service csf stop

iptables -F

service csf start

Após isto crie um arquivo chamado csfpost.sh dentro da pasta /etc/csf/

nano /etc/csf/csfpost.sh

Faça as edições necessárias e cole o seguinte conteúdo:

iptables -N filtro



countrie="BR"

workdir="/root/"



#######################################



cd $workdir

wget -c --output-document=iptables-whitelist.txt http://www.brasilhosp.com.br/downloads/list/"$countrie"_cidr.txt

if [ -f iptables-whitelist.txt ]; then

  iptables -F filtro

  blockdb="iptables-whitelist.txt"

  ips=$(grep -Ev "^#" $blockdb)

  for i in $ips

  do

    iptables -A filtro --src $i -j ACCEPT

  done

fi



iptables -A filtro --src 127.0.0.1 -j ACCEPT

iptables -A filtro --src [B]IPDOSEUSERVIDOR[/B] -j ACCEPT

iptables -A filtro -j DROP

iptables -I INPUT -m multiport -p tcp --dports 2082,2083,2086,2087,[B]PORTASSH[/B] -j filtro

Após isto, de restart no CSF, e já deve estar funcionando:

service csf restart

Se algum cliente seu tiver problema de conexões com outros servidores lá fora(para integração do WHM com paineis), você pode adicionar abaixo de "iptables -A filtro --src IPDOSEUSERVIDOR -j ACCEPT" outros IP's seguindo a mesma regra.

[Andre Medeiros]

Isso faz exatamente oque?

[Jordan Miguel]

Isso faz exatamente oque?

Leia o título e o conteúdo do post novamente.

[gabrielpinho]

Bom tutorial, vai ajudar bastante quem tá precisando.

[Cassiano Teixeira]

Boa Jordan - Não vou usa-lo hoje, mais já salvei =D Ninguem sabe o dia de amanha.

Abraço;

[Alexandre Duran]

Muito bom Jordan - neste caso ele permite apenas a IPs brs de acessarem as portas do WHM, CPANEL e SSH correto ?

Tem como modifica-lo para FTP tb ?

Basta alterar a linha abaixo adicionando a porta do FTP ?

iptables -I INPUT -m multiport -p tcp --dports 2082,2083,2086,2087,PORTASSH -j filtro

Tem como editar este script para não usar o WGET, apenas lendo os ips já existente diretamente em um arquivo iptables-whitelist.txt local ?

No caso de desfazer esta config no iptables, basta remover o arquivo e reiniciar o CSF ?

[Jordan Miguel]

Muito bom Jordan - neste caso ele permite apenas a IPs brs de acessarem as portas do WHM, CPANEL e SSH correto ?

Tem como modifica-lo para FTP tb ?

Basta alterar a linha abaixo adicionando a porta do FTP ?

iptables -I INPUT -m multiport -p tcp --dports 2082,2083,2086,2087,PORTASSH -j filtro

Tem como editar este script para não usar o WGET, apenas lendo os ips já existente diretamente em um arquivo iptables-whitelist.txt local ?

No caso de desfazer esta config no iptables, basta remover o arquivo e reiniciar o CSF ?

Exatamente Duran!

Sim, está correto, basta adicionar a porta na linha de dports.

Sobre o script, não entendí o que quis dizer.. Mas o script não deve influenciar no WGET, já que é apenas para input connections.

Sim, para remover, basta mover o arquivo ou excluí-lo e reinicar o CSF.

[fktech]

Acessei o site http://www.countryipblocks.net, e gerei uma nova listagem, verifiquei então que estão faltando alguns ips no arquivo, podemos só editar o arquivo que foi baixado e reiniciar o csf???

Obrigado

[Jordan Miguel]

Atualizei a lista de range de IP's brasileiros. Basta reiniciar o CSF!

[Mkr]

E para que bloquear IPs estrangeiros para acesso ao CPANEL?

Sejamos práticos, isso é ego ou gente inocente.

Se for por invasão hacker:

1- Como se no Brasil não houvessem invasores, hackers

2- Num mundo gobalizado, o cliente está se movendo por outro país e não tem acesso a mudanças importantes no Cpanel.

3- Os hackers estrangeiros saberão os modos de ocultar seu IP, equanto o cliente honesto que necesita usar sua conta não saberá usar os mesmos recursos que o hacker.

Enfim, desculpe se sou grosseiro, mas não vejo segurança e nem praticidade nestes recursos.

Garantir a segurança de um servidor vai muito mais além que complicar a vida do cliente.