Hallo,
bis vor Kurzem hatte ich einen DSL-I/10 Office, der nun gegen einen DSL-I/10+ mit LCOS 5.02 ausgetauscht wurde. Bei beiden habe ich eine Deny-All Regel zur Grundlage der Firewall gehabt. Bei dem alten Modell hat EMule trotz fehlender Allow-Regel für den Port 4662 funktioniert, beim 10+ war eine explizite Regel in der Firewall neben der inversen Maskierung notwendig, damit es lief. Soweit so gut, das sehe ich als eine positive Änderung im LCOS.
Was ich aber nicht so ganz nachvollziehen kann ist die Tatsache, dass VoIP mit der T-Online Software "Internet Telefon 6" vollkommen ohne jede Firewall Regel funktioniert! In beide Richtungen!
Diese Ports
UDP (in): Ports 5070, 30000-30005, 3478, 3479
sollen freigeschaltet werden, laut Beschreibung. Keinen davon habe ich freigegeben, auch nicht in der Servicetabelle des IP-Router Moduls eingetragen, aber ankommende Anrufe kommen trotzdem zu dem Rechner durch.
Kann mir jemand erklären, warum das so ist?
VoIP funktioniert ohne explizite Allow-Regel
Moderator: Lancom-Systems Moderatoren
-
silverwolf
- Beiträge: 29
- Registriert: 21 Aug 2005, 22:18
-
silverwolf
- Beiträge: 29
- Registriert: 21 Aug 2005, 22:18
Hi silverwolf
Bist du sicher, daß du nicht über die LANCAPI eine direkte DFÜ-Verbindung aufgebaut hast - das wäre nämlich das einzige, was dieses Verhalten erklären könnte...
Gruß
Backslash
der Grund ist wohl, daß das niemand wirklich glauben kann... - besonders die Sache mit der T-Online Software, die *OHNE* Portforwardings funktionieren soll...Hier lesen doch die "Netgurus" ... weiß das wirklich niemand?
Bist du sicher, daß du nicht über die LANCAPI eine direkte DFÜ-Verbindung aufgebaut hast - das wäre nämlich das einzige, was dieses Verhalten erklären könnte...
Gruß
Backslash
-
silverwolf
- Beiträge: 29
- Registriert: 21 Aug 2005, 22:18
Absolut sicher, denn auf dem Rechner, auf dem die T-Online VoIP Software installiert ist, ist gar keine Capi und auch keine DFÜ-Verbindung installiert. Der Rechner hat ausschließlich über den Router Zugang zum Internet.
Portforwarding ist ebenfalls definitiv nicht im Router eingetragen.
Es exitiert allerdings eine Regel, die DIESEM Rechner alle ausgehenden Verbindungen erlaubt. Das erklärt aber (für mich) nicht, warum Anrufe von außen durchkommen. Jede andere Software, die bestimmte Ports belauscht, funktioniert nicht ohne explizite Freigabe.
Portforwarding ist ebenfalls definitiv nicht im Router eingetragen.
Es exitiert allerdings eine Regel, die DIESEM Rechner alle ausgehenden Verbindungen erlaubt. Das erklärt aber (für mich) nicht, warum Anrufe von außen durchkommen. Jede andere Software, die bestimmte Ports belauscht, funktioniert nicht ohne explizite Freigabe.
Hi silverwolf
Wenn ja, dann haben wir des Rätsels Lösung: Bei der Adreßermittlung über einen STUN-Server verwendet die Software den gleichen Absender-Port, den sie später auch für die Kommunikation mit dem SIP-Telefon auf der anderen Seite verwendet. Daher ist die Verbindung von innen nach aussen aufgebaut worden.
Und die Verbindung für die Signalisierung ist sowiso von innen nach aussen aufgebaut worden (durch der Anmeldung beim SIP-Gateway)
Gruß
Backslash
Verwendet die Software einen STUN-Server um seine eigene von aussen erreichbare Adresse zu ermitteln?Es exitiert allerdings eine Regel, die DIESEM Rechner alle ausgehenden Verbindungen erlaubt. Das erklärt aber (für mich) nicht, warum Anrufe von außen durchkommen. Jede andere Software, die bestimmte Ports belauscht, funktioniert nicht ohne explizite Freigabe.
Wenn ja, dann haben wir des Rätsels Lösung: Bei der Adreßermittlung über einen STUN-Server verwendet die Software den gleichen Absender-Port, den sie später auch für die Kommunikation mit dem SIP-Telefon auf der anderen Seite verwendet. Daher ist die Verbindung von innen nach aussen aufgebaut worden.
Und die Verbindung für die Signalisierung ist sowiso von innen nach aussen aufgebaut worden (durch der Anmeldung beim SIP-Gateway)
Gruß
Backslash
-
silverwolf
- Beiträge: 29
- Registriert: 21 Aug 2005, 22:18