Port Forwarding nur von bestimmten Domains

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Sven76
Beiträge: 5
Registriert: 20 Mär 2019, 16:11

Port Forwarding nur von bestimmten Domains

Beitrag von Sven76 »

Hallo liebe Gemeinde,

ich stehe mit der Firewall im Lancom 1781EF+ auf dem Schlauch. Es soll eine Portweiterleitung auf einen internen Rechner nur von bestimmten Domains möglich sein. Ich kann zwar externe IP-Adressen und IP-Ranges zur Einschränkung angeben, aber keine externen Domains. Die Remote-Hosts können von wechselnden IP-Adressen kommen, die uns nicht bekannt sind.

Speziell geht es hier um SIP-Weiterleitungen zur TK-Anlage auf Port 5060, die nur von Easybell und 1&1 (zwei SIP-Trunks) kommen sollen.

Hier die Aussage von Easybell:
https://www.easybell.de/hilfe/telefon-k ... ieren.html

"Eine Freigabe für bestimmte IP-Adressen ist nicht möglich, da wir je nach Standort und Auslastung, unterschiedliche IP-Adressen nutzen."

--> Jetzt ist der Port 5060 komplett offen und die TK-Anlage wird mit Login-Versuchen geflutet. Wir haben zwar schon fail2ban laufen, aber eigentlich sollte das der LanCom blocken... Aber wie?

Viele Grüße
Sven
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Port Forwarding nur von bestimmten Domains

Beitrag von MoinMoin »

Moin Sven,

können Easybell / 1&1 und eure TK-Anlage SIPS? Dann baut eure TK-Anlage beim Register die TCP/TLS-Verbindung auf und es wird kein Port-Forwarding benötigt.

Ciao, Georg
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Port Forwarding nur von bestimmten Domains

Beitrag von backslash »

Hi Sven76,
Wir haben zwar schon fail2ban laufen, aber eigentlich sollte das der LanCom blocken... Aber wie?
Erstelle in der Firewall eione Deny-SIP-Regel, die alles an Port 5060 Blockt und eine Allow-SIP-Regel, die Trafic vom Easybell-Servers an port 5060 erlaubt:

Code: Alles auswählen

Name:     DENY_SIP
Aktion:   zurückweisen
Quelle:   alle Stationen
Ziel:     alle Stationen
Dienste:  UDP, Zielport 5060

Name:     ALLOW_SIP_EASYBELL
Aktion:   übertragen
Quelle:   IP-Adfresse(n) des/r Easybell-Server(s)
Ziel:     IP deiner TK-Anlage
Dienste:  UDP, Zielport 5060
Gruß
Backslash
Antworten