Jordan Miguel Posted December 31, 2011 Share Posted December 31, 2011 Segue aqui um pequeno script que criei a um tempo para fazer o bloqueio na 2082,2083,2086,2087,portaSSH: Primeiramente, digite no seu Terminal: service csf stop iptables -F service csf start Após isto crie um arquivo chamado csfpost.sh dentro da pasta /etc/csf/ nano /etc/csf/csfpost.sh Faça as edições necessárias e cole o seguinte conteúdo: iptables -N filtro countrie="BR" workdir="/root/" ####################################### cd $workdir wget -c --output-document=iptables-whitelist.txt http://www.brasilhosp.com.br/downloads/list/"$countrie"_cidr.txt if [ -f iptables-whitelist.txt ]; then iptables -F filtro blockdb="iptables-whitelist.txt" ips=$(grep -Ev "^#" $blockdb) for i in $ips do iptables -A filtro --src $i -j ACCEPT done fi iptables -A filtro --src 127.0.0.1 -j ACCEPT iptables -A filtro --src [B]IPDOSEUSERVIDOR[/B] -j ACCEPT iptables -A filtro -j DROP iptables -I INPUT -m multiport -p tcp --dports 2082,2083,2086,2087,[B]PORTASSH[/B] -j filtro Após isto, de restart no CSF, e já deve estar funcionando: service csf restart Se algum cliente seu tiver problema de conexões com outros servidores lá fora(para integração do WHM com paineis), você pode adicionar abaixo de "iptables -A filtro --src IPDOSEUSERVIDOR -j ACCEPT" outros IP's seguindo a mesma regra. 2 Link to comment Share on other sites More sharing options...
Andre Medeiros Posted December 31, 2011 Share Posted December 31, 2011 Isso faz exatamente oque? Link to comment Share on other sites More sharing options...
Jordan Miguel Posted December 31, 2011 Author Share Posted December 31, 2011 Isso faz exatamente oque? Leia o título e o conteúdo do post novamente. Link to comment Share on other sites More sharing options...
gabrielpinho Posted December 31, 2011 Share Posted December 31, 2011 Bom tutorial, vai ajudar bastante quem tá precisando. Link to comment Share on other sites More sharing options...
Cassiano Teixeira Posted December 31, 2011 Share Posted December 31, 2011 Boa Jordan - Não vou usa-lo hoje, mais já salvei =D Ninguem sabe o dia de amanha. Abraço; Link to comment Share on other sites More sharing options...
Alexandre Duran Posted January 13, 2012 Share Posted January 13, 2012 Muito bom Jordan - neste caso ele permite apenas a IPs brs de acessarem as portas do WHM, CPANEL e SSH correto ? Tem como modifica-lo para FTP tb ? Basta alterar a linha abaixo adicionando a porta do FTP ? iptables -I INPUT -m multiport -p tcp --dports 2082,2083,2086,2087,PORTASSH -j filtro Tem como editar este script para não usar o WGET, apenas lendo os ips já existente diretamente em um arquivo iptables-whitelist.txt local ? No caso de desfazer esta config no iptables, basta remover o arquivo e reiniciar o CSF ? Link to comment Share on other sites More sharing options...
Jordan Miguel Posted January 14, 2012 Author Share Posted January 14, 2012 Muito bom Jordan - neste caso ele permite apenas a IPs brs de acessarem as portas do WHM, CPANEL e SSH correto ? Tem como modifica-lo para FTP tb ? Basta alterar a linha abaixo adicionando a porta do FTP ? iptables -I INPUT -m multiport -p tcp --dports 2082,2083,2086,2087,PORTASSH -j filtro Tem como editar este script para não usar o WGET, apenas lendo os ips já existente diretamente em um arquivo iptables-whitelist.txt local ? No caso de desfazer esta config no iptables, basta remover o arquivo e reiniciar o CSF ? Exatamente Duran! Sim, está correto, basta adicionar a porta na linha de dports. Sobre o script, não entendí o que quis dizer.. Mas o script não deve influenciar no WGET, já que é apenas para input connections. Sim, para remover, basta mover o arquivo ou excluí-lo e reinicar o CSF. Link to comment Share on other sites More sharing options...
fktech Posted January 25, 2012 Share Posted January 25, 2012 Acessei o site http://www.countryipblocks.net, e gerei uma nova listagem, verifiquei então que estão faltando alguns ips no arquivo, podemos só editar o arquivo que foi baixado e reiniciar o csf??? Obrigado Link to comment Share on other sites More sharing options...
Jordan Miguel Posted January 26, 2012 Author Share Posted January 26, 2012 Atualizei a lista de range de IP's brasileiros. Basta reiniciar o CSF! Link to comment Share on other sites More sharing options...
Mkr Posted July 2, 2012 Share Posted July 2, 2012 E para que bloquear IPs estrangeiros para acesso ao CPANEL? Sejamos práticos, isso é ego ou gente inocente. Se for por invasão hacker: 1- Como se no Brasil não houvessem invasores, hackers 2- Num mundo gobalizado, o cliente está se movendo por outro país e não tem acesso a mudanças importantes no Cpanel. 3- Os hackers estrangeiros saberão os modos de ocultar seu IP, equanto o cliente honesto que necesita usar sua conta não saberá usar os mesmos recursos que o hacker. Enfim, desculpe se sou grosseiro, mas não vejo segurança e nem praticidade nestes recursos. Garantir a segurança de um servidor vai muito mais além que complicar a vida do cliente. Link to comment Share on other sites More sharing options...
Recommended Posts