Hallo liebe Gemeinde,
ich stehe mit der Firewall im Lancom 1781EF+ auf dem Schlauch. Es soll eine Portweiterleitung auf einen internen Rechner nur von bestimmten Domains möglich sein. Ich kann zwar externe IP-Adressen und IP-Ranges zur Einschränkung angeben, aber keine externen Domains. Die Remote-Hosts können von wechselnden IP-Adressen kommen, die uns nicht bekannt sind.
Speziell geht es hier um SIP-Weiterleitungen zur TK-Anlage auf Port 5060, die nur von Easybell und 1&1 (zwei SIP-Trunks) kommen sollen.
Hier die Aussage von Easybell:
https://www.easybell.de/hilfe/telefon-k ... ieren.html
"Eine Freigabe für bestimmte IP-Adressen ist nicht möglich, da wir je nach Standort und Auslastung, unterschiedliche IP-Adressen nutzen."
--> Jetzt ist der Port 5060 komplett offen und die TK-Anlage wird mit Login-Versuchen geflutet. Wir haben zwar schon fail2ban laufen, aber eigentlich sollte das der LanCom blocken... Aber wie?
Viele Grüße
Sven
Port Forwarding nur von bestimmten Domains
Moderator: Lancom-Systems Moderatoren
Re: Port Forwarding nur von bestimmten Domains
Moin Sven,
können Easybell / 1&1 und eure TK-Anlage SIPS? Dann baut eure TK-Anlage beim Register die TCP/TLS-Verbindung auf und es wird kein Port-Forwarding benötigt.
Ciao, Georg
können Easybell / 1&1 und eure TK-Anlage SIPS? Dann baut eure TK-Anlage beim Register die TCP/TLS-Verbindung auf und es wird kein Port-Forwarding benötigt.
Ciao, Georg
Re: Port Forwarding nur von bestimmten Domains
Hi Sven76,
Gruß
Backslash
Erstelle in der Firewall eione Deny-SIP-Regel, die alles an Port 5060 Blockt und eine Allow-SIP-Regel, die Trafic vom Easybell-Servers an port 5060 erlaubt:Wir haben zwar schon fail2ban laufen, aber eigentlich sollte das der LanCom blocken... Aber wie?
Code: Alles auswählen
Name: DENY_SIP
Aktion: zurückweisen
Quelle: alle Stationen
Ziel: alle Stationen
Dienste: UDP, Zielport 5060
Name: ALLOW_SIP_EASYBELL
Aktion: übertragen
Quelle: IP-Adfresse(n) des/r Easybell-Server(s)
Ziel: IP deiner TK-Anlage
Dienste: UDP, Zielport 5060
Backslash