Port Forward auf 5060 nur von einer Adresse/Adressbereich?

[p0ddie]

Hi,

ich habe die Situation, dass ich mit einem SIP-Anbieter arbeiten muss, für den ich ein Port Forward auf Port 5060 im Lancom 1781EW (aktuelles LCOS) auf meine VoIP Anlage öffnen muss. Damit ich nicht von den Script-Kiddies aus China mit Attacken auf Port 5060 zugeballert werde, wollte ich eine Firewallregel machen, die den Traffic auf 5060 nur von einer IP bzw. einem IP-Range
erlaubt.

Ich habe den Port Forward auf Port 5060 (SIP) und noch den RTP-Range, der vom Provider angegeben ist, als Port Forward auf die interne IP der Asterisk Anlage gemacht.

Ich habe mit Prio 100 eine Regel gemacht, die SIP + RTP Range (als Objekt) von außen auf alle LOCALNET droppt.
Ich habe mit Prio 101 eine Regel gemacht, die SIP + RTP Range (als Objekt) von einer einzigen IP von außen auf alle LOCALNET erlaubt.

Es handelt sich übrigens um Vodafone SIP (Geschäftskunden als Ersatz für einen PMX), die machen SIP über TCP und ohne Authentifizierung. Strange.

Leider kann ich von einer anderen externen IP immer noch auf Port 5060 kommen, trotz aktivierter Regel, ich mache also etwas falsch. Hat bitte jemand einen Tipp, was ich falsch mache? Vielen Dank!

Bildupload hier geht nicht, "die Datei ist leer" daher Screenshots extern eingebunden:

[backslash]

Hi p0ddie

Leider kann ich von einer anderen externen IP immer noch auf Port 5060 kommen, trotz aktivierter Regel, ich mache also etwas falsch. Hat bitte jemand einen Tipp, was ich falsch mache? Vielen Dank!

du hast in der Regel als Ziel *und* Quell-Dienst "SIP_UDP-TCP" und "VODAFONE-RTP" eingetragen... d.h. nur Pakete, die 5060 (oder die RTP-Ports) als Quellport haben matchen auf die Regel. alle anderen Quellports matchen halt nicht.... Nimm einfach die Quell-Dienste raus...

Gruß
Backslash

BTW: für Quelldienste etwas anderes als "alle Dienste" einzugtragen gibt es eigentlich überhaupt keinen Grund...

[p0ddie]

Hi,

ich habe das jetzt mal angepasst, aber irgendwie funktioniert die Regel nicht. So, wie ich sie jetzt habe, werden alle telnet <ip> 5060 Versuche abgewiesen - wenn ich in den Objekten in der Allow Regel aber noch meine eigene IP (von außerhalb) eingebe, wird der Versuch auch abgewiesen. Ideen?

[maiki]

Hi,

entferne den Hacken "Weitere Regeln beachten" bei der Regel "ACCEPT-SIP-FROM-VF"

Grüße

Maik

[p0ddie]

Hi,

entferne den Hacken "Weitere Regeln beachten" bei der Regel "ACCEPT-SIP-FROM-VF"

Ich glaube das war's, danke! Ich dachte, dass die Prio der Regel reicht und bei einem Regelkonflikt der Inhalt mit der höheren Priorität gewinnt, aber die Priorität zeigt nur an, in welcher Folge die Regeln abgearbeitet werden, oder?

[devil77]

Hallo,
muss mich hier mal mit dran hängen.
Kann man bei Stationsquelle/-ziel auch einen Hostnamen verwenden?
Wir haben unseren SIP Trunk bei easybell und ich würde gerne Verbindungen nur von und zu sip.easybell.de zulassen.
Nur habe ich bisher keine Möglichkeit gefunden was anderes außer IP Adressen anzugeben.

[cpuprofi]

Hallo devil77,

Kann man bei Stationsquelle/-ziel auch einen Hostnamen verwenden?

kurze Antwort: NEIN.

Grüße
Cpuprofi

[Koppelfeld]

Eigentlich braucht es diese "Portweiterleitungen" gar nicht.
Bevor das hier wieder in fürchterlich unübersichtliche und lange Monologe ausartet:
Eine VoIP - Anlage hätte gerne eine direkt erreichbare Adresse.
Alles andere saugt tote Hamster durch Strohhalme.

Das kannst Du unterdessen mit dem "Voice Call Manager" erreichen, indem Du diesen als "Super-ALG" schaltest.
Du registrierst Deine Provider auf dem VCM und dieser dient der TK-Anlage als "SIP - Provider".
Mit dieser Konstellation handelst Du dir auch noch andere subtile Vorteile ein, beispielsweise kannst Du den Traffic mit dem SIP - Provider mit einem Routing - Tag versehen und so selektiv routen.
Nicht zu vergessen: Der VCM kommt mit dem verquasten Telekom-SIP klar.

[devil77]

Wenn ich das richtig verstehe kann ich dann folgenden Aufbau verwenden
Lancom Router mit VCM und Verbindung zum SIP Trunk vom Provider - vorhandene VOIP TK Anlage bekommt als SIP Provider den Lancom Router - richtig?

Kann man in diesem Aufbau der TK eine eigene öffentliche IP zuweisen oder ist das dann nicht mehr nötig, weil die Lancom Router mit seiner öffentlichen IP direkt angesprochen wird?
Wozu kann man den Routing Tag verwenden?