Firewall zu heftig?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
R

ranthoron

Neuer User
Mitglied seit
25 Okt 2004
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Weil wir expandieren, soll ich unser Telefonnetz ausbauen.
Im Zuge dessen will ich unsere Telefonzentrale von unserem Router trennen und einen "Verteilrechner" im öffentlichen Netz aufstellen.
Natürlich soll der Rechner noch anderes beinhalten, das aber nicht ohne weiteres erreichbar sein soll. Dennoch sollen (vorläufig) erst einmal ein paar Außenstellen-SIP-Telefone am Verteilrechner aufschlagen.
Leider klappt derzeit die SIP-Anmeldung nicht, andererseits kriege ich keine Blockierungs-Rückmeldung von der Firewall.

Eingerichtet ist ein aktuelles Debian mit OpenVPN, Asterisk 1.0.7-BRIstuffed-0.2.0-RC7k und fiaif als firewall.

Auszug aus der fiaif-config für das äußere Netzwerk:
INPUT[0]="ACCEPT tcp ssh,ntp,openvpn,9005 0.0.0.0/0=>0.0.0.0/0"
INPUT[1]="ACCEPT udp ssh,ntp,openvpn,1194 0.0.0.0/0=>0.0.0.0/0"
INPUT[2]="ACCEPT udp 2727,3478,4569,5004,5036,5060:5069,8000:8019,10000:40000 0.0.0.0/0=>0.0.0.0/0"
INPUT[3]="ACCEPT tcp 5060 0.0.0.0/0=>0.0.0.0/0"
INPUT[4]="ACCEPT icmp echo-request 0.0.0.0/0=>0.0.0.0/0"
INPUT[5]="ACCEPT igmp 0.0.0.0/0=>224.0.0.0/4"
INPUT[6]="DROP ALL 0.0.0.0/0=>0.0.0.0/0"
OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
FORWARD[0]="ALL REJECT ALL 0.0.0.0/0=>0.0.0.0/0"

input(2,3) sind nur für VoIP, um die Basiseinstellungen nicht versehentlich zu löschen.
Wo ist mein (denk-)Fehler?

ranthoron
 
Lauscht Asterisk denn überhaupt auf der Karte?
Hängt der Rechner direkt im Internet oder hinter NAT im LAN?

UDP/5060 scheint ja erlaubt zu sein. Damit ist eine Registrierung möglich.

PS: Asterisk mit TCP/5060 hast Du nicht wirklich installiert?
ssh mit UDP?
ntp mit TCP und wieso bietest Du die Uhrzeit im Internet an?
Die Einstellungen sehen etwas gruselig aus.
 
Thomas007 schrieb:
Lauscht Asterisk denn überhaupt auf der Karte?
Zum Vergrößern anklicken....
Laut netstat lauscht Asterisk auf allen Netzen, also auch auf der Karte.

Thomas007 schrieb:
Hängt der Rechner direkt im Internet oder hinter NAT im LAN?
Zum Vergrößern anklicken....
Direkt im Internet (mit fester IP), deswegen überhaupt die Firewall.

Thomas007 schrieb:
UDP/5060 scheint ja erlaubt zu sein. Damit ist eine Registrierung möglich.
Zum Vergrößern anklicken....
Möglich vielleicht, klappt aber nicht.

Thomas007 schrieb:
PS: Asterisk mit TCP/5060 hast Du nicht wirklich installiert?
Zum Vergrößern anklicken....
Nein, nur habe ich natürlich schon mehrere Anpassungsversuche hinter mir.

Thomas007 schrieb:
ssh mit UDP?
ntp mit TCP und wieso bietest Du die Uhrzeit im Internet an?
Die Einstellungen sehen etwas gruselig aus.
Zum Vergrößern anklicken....
Wie gesagt, es sollen auch noch andere Sachen laufen, nur geht es mir _hier_ um Asterisk.
 
ranthoron schrieb:
Nein, nur habe ich natürlich schon mehrere Anpassungsversuche hinter mir.
Wie gesagt, es sollen auch noch andere Sachen laufen, nur geht es mir _hier_ um Asterisk.
Zum Vergrößern anklicken....

Ich kenne das Programm nicht was Du benutzt um Dein iptables Script zu erzeugen. Es hat den Anschein das UDP 5060 frei ist.
Mit iptables -L kannst Du Dir die genaue Einstellung des Filters anschauen. Da sollte man sehen können ob 5060 nun wirklich frei ist oder geblockt wird.

Ansonsten habe ich gestern in einen anderen Thread ein Script eingestellt.
Das wäre auch für Dich geeignet.
Es filtert nach Paketstatus, zeigt wie log Funktion und Limitierung geht und ist um neue Ports oder Dienste leicht erweiterbar.

http://www.ip-phone-forum.de/showthread.php?p=569735#post569735
 
Thomas007 schrieb:
Ich kenne das Programm nicht was Du benutzt um Dein iptables Script zu erzeugen. Es hat den Anschein das UDP 5060 frei ist.
Mit iptables -L kannst Du Dir die genaue Einstellung des Filters anschauen. Da sollte man sehen können ob 5060 nun wirklich frei ist oder geblockt wird.

Ansonsten habe ich gestern in einen anderen Thread ein Script eingestellt.
Das wäre auch für Dich geeignet.
Es filtert nach Paketstatus, zeigt wie log Funktion und Limitierung geht und ist um neue Ports oder Dienste leicht erweiterbar.

http://www.ip-phone-forum.de/showthread.php?p=569735#post569735
Zum Vergrößern anklicken....

FIAIF (http://www.fiaif.net/) ist anscheinend etwas ähnliches: ein Firewall-script, das pro Netzwerk ein configfile hat, bei Bedarf loggt und das Log per Cronjob zumailt.

Aber auf die naheliegenste Lösung bin ich natürlich nicht gekommen: Firewall kurz ausschalten und dann versuchen, mich anzumelden.
Das Problem ist anscheinend wirklich der Asterisk.
Zumindest wurde mir bestätigt, daß die ausgewählten Ports für den Zweck richtig sind...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 533 (Mitglieder: 45, Gäste: 488)

Neueste Beiträge

Statistik des Forums

Themen
246,401
Beiträge
2,251,554
Mitglieder
374,096
Neuestes Mitglied
matze2025
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück