Firewall-Regeln Telefonie

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Snugel
Beiträge: 38
Registriert: 02 Nov 2014, 21:52
Wohnort: Baden-Württemberg

Firewall-Regeln Telefonie

Beitrag von Snugel »

Hallo zusammen.

derzeit bin ich dabei die Präzision der Firewall feingranularer zu gestallten. Jedoch scheint es so, als ob ich einen denk Fehler mache. Ich freue mich wenn ihr mich bei dem folgenden Problem/en unterstützen könnt.

Ich habe vier Firewall-Regeln, die die Telefonie steuern.

1. ALLOW_S-RTP_TCOM-SC
Die aktion besagt das empfangene Pakete physikalisch pro Session übertragen weden sollen -mit snmp Protokollierung.
QoS ist mit DiffServ-CP: EF bei min. 128 kbit/s pro Session konfiguriert.
Die Regel gilt für bestimmte IP-Adresse der Telekom aus dem Internet und wird zu bestimmten Stationen aus dem lokalen Netzwerk erlaubt.
Quell-Dienste sind ANY, Ziel-Dienst ist UDP Port/s 7078-7110

2. ALLOW_S-RTP_SC-TCOM
Die aktion besagt das gesendete Pakete physikalisch pro Session übertragen weden sollen -mit snmp Protokollierung.
QoS ist mit DiffServ-CP: EF bei min. 128 kbit/s pro Session konfiguriert.
Die Regel gilt für bestimmte Clients aus dem lokalen Netzwerk und die Verbindung wird zur DNS-Zielliste der Telekom Stationen erlaubt.
Quell-Dienst ist UDP Port/s 7078-7110, Ziel-Dienst ist ANY

3. ALLOW_S-SIP_SC-TCOM
Die aktion besagt das gesendete Pakete physikalisch pro Session übertragen weden sollen -mit snmp Protokollierung.
QoS brauche ich hier nicht.
Die Regel gilt für bestimmte Clients aus dem lokalen Netzwerk und die Verbindung wird zu allen Stationen erlaubt.
Quell-Dienste sind ANY, Ziel-Dienste sindd SIP 5060 und SIPS 5061

4. ALLOW_S-SIPSTUN_SC-TCOM
Die aktion besagt das gesendete Pakete physikalisch pro Session übertragen weden sollen -mit snmp Protokollierung.
QoS brauche ich hier nicht.
Die Regel gilt für bestimmte Clients aus dem lokalen Netzwerk und die Verbindung wird zu allen Stationen erlaubt.
Quell-Dienst ist SIP 5060 Ziel-Dienst ist STUN-Port 3478

Die Trigger-Werte sind immer 0 in kbit/s.
DiffServ-CP verwende ich nur bei den Regeln 1 und 2.

Die Regeln haben schonmal funktioniert - sprich telefonieren war möglich. Seither habe ich nur die Änderungen unter Aktionen bezüglich "für gesendete Pakete" oder "für empfangene Pakte" vorgenommen. Ich hatte vorher nicht unterschieden ob Pakte empfangen oder gesendet wurden.

Wo liegt mein Fehler?
Mit freundlichem Gruß

Snugel
--
Router: LANCOM 1781 VAW
--
IT-System-Elektroniker
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Firewall-Regeln Telefonie

Beitrag von GrandDixence »

Einen kleinen, aber feinen "QoS-Guide" für LANCOM-Router mit LCOS findet man unter:
fragen-zum-thema-firewall-f15/bandbreit ... tml#p98385
Snugel
Beiträge: 38
Registriert: 02 Nov 2014, 21:52
Wohnort: Baden-Württemberg

Re: Firewall-Regeln Telefonie

Beitrag von Snugel »

Danke GrandDixence.

Heute Morgen habe ich festgestellt, dass meine Regeln wie ich sie oben beschrieben habe funktionieren. Was bei mir die Frage aufwirft, wie lange ist die Verzögerung der Firewall bis die Regeln greifen?
Bei bisherigen Regeln, die ich erstellt hatte, hat das greifen nicht lange gedauert. Ich meine sagen zu können, dass es sich um Sekunden gehandelt hat.
Andererseits kann es auch sein, dass eventuell das Registrieren der SIP-IDs durch den Lancom beim Registrar etwas länger dauert. Wobei sich mir noch nicht erschließt, was für die Verzögerung verantwortlich ist.
Mit freundlichem Gruß

Snugel
--
Router: LANCOM 1781 VAW
--
IT-System-Elektroniker
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Firewall-Regeln Telefonie

Beitrag von GrandDixence »

Welche Firewallregel auf welche Verbindung (TCP, UDP, ICMP) greift, ist in der Zustandstabelle der SPI-Firewall ersichtlich.

LCOS-Menübaum/Status/IP-Router/Verbindungsliste

Siehe dazu die Hinweise zur "Verbindungsliste" unter:
fragen-zum-thema-firewall-f15/portscans ... ml#p104492

und das LCOS-Referenzhandbuch zum Thema "SPI-Firewall":
https://www.lancom-systems.de/docs/LCOS ... 63023.html
Snugel
Beiträge: 38
Registriert: 02 Nov 2014, 21:52
Wohnort: Baden-Württemberg

Re: Firewall-Regeln Telefonie

Beitrag von Snugel »

Danke, ich werde es mir mal durchlesen.
Mit freundlichem Gruß

Snugel
--
Router: LANCOM 1781 VAW
--
IT-System-Elektroniker
Antworten