OPNsense Forum
International Forums => German - Deutsch => Topic started by: Kongootto72 on September 27, 2018, 10:55:00 am
-
nur sip.easybell.de zulassen.
Liebe Gemeinde,
die Angriffe aus Angola,Burkina Faso und anderen aufstrebenden IT-Ländern auf unsere VoIP-Anlage nehmen immer mehr zu.
Mein Provider rät mir auf der Firewall eine Regel zu erstellen das nur sip.easybell.de über die SIP-Ports durchgelassen wird. Dafür müsste doch erst die DNS aufgelöst werden oder ?
Desweiteren würden sie mir empfehlen alle Quellen außer Deutschland zu blocken.
Ich bitte die Community höflich um Hilfestellung da ich nur Basic-Erfahrung mit OPNSense habe.
-
was du machen könntest, ist ein Alias (zB GeoBlock) einrichten, type geoip. Da selektierts du welche länder geblockt werden sollen und anschliessend kannst du ein Firewall Blockier-Regel erstellen die dann als Quelle diese Alias benutzt. Wir setzen es selektiv für einige wenige Ports ein die nur aus DE angesprochen werden sollen und das funktioniert wunderbar.
-
> Desweiteren würden sie mir empfehlen alle Quellen außer Deutschland zu blocken.
Das ist mit dem Tipp oben (GeoIP Alias definieren) machbar, wird aber sicherlich "unscharf" sein, je nachdem wie gut die IP Listen sind.
> Mein Provider rät mir auf der Firewall eine Regel zu erstellen das nur sip.easybell.de über die SIP-Ports durchgelassen wird. Dafür müsste doch erst die DNS aufgelöst werden oder ?
Völlig richtige Vorgehensweise, so sollte man ohnehin vorgehen, dass gerade auf den SIP oder die RTP Ports nicht jeder Hinz und Kunz Zugriff bekommen. Daher erfragt man normalerweise sein SIP Gateway/Provider/etc. und holt sich damit die IPs oder DNS Namen der Gegenstelle und lässt nur diese zu. In diesem Fall scheint es ja nur eine zu sein, was recht einfach ist.
Natürlich muss DNS aufgelöst werden (und die Firewall sollte auch einen sinnvollen Resolver/Forwarder haben, da DNS essentiell ist). Das erledigt bei einem DNS Namen in einem Host Alias aber die Firewall selbst. Hier wird zyklisch die IP aufgelöst und in der entsprechenden Regel ersetzt. Außer einem Host Alias mit der o.g. Domain muss hier aber IMHO nichts weiter erstellt werden, dann einfach die eingehende Regel für SIP/RTP anpassen auf "Source" nur von neu erstelltem Alias.
Gruß
-
@Droppie & JeGr: Ihr seid klasse !!!
Es funktioniert ! Vielen Lieben Dank !!!
So schaut es jetzt aus:
Firewall: Aliase: Ansicht:
Name Typ Beschreibung Werte
GeoIPblock3CX geoip nur D kann auf 3CX zugreifen DZ, AO, BJ, BW, BF... (alles angehakt außer DE)
SipPorts Port(s) Ports used by 3CX 5060:5064, 9000:10999
easybell_Sip Host(s) easybell sip.easybell.de
Firewall: Regeln: WANTelekom:
x * RFC 1918 Netzwerke * * * * Blockiere private Netze
x * Reserviert / nicht durch die IANA zugewiesen * * * * Blockiere Bogon-Net
> IPv4 UDP * * 192.168.x.x 1194 (OpenVPN) * NAT OpenVPN
> IPv4 TCP/UDP * * 192.168.x.x 443 (HTTPS) * NAT Nextcloud
> IPv4 TCP/UDP * * 192.168.x.x 80 (HTTP) * NAT HTTP
x IPv4 TCP/UDP GeoIPblock3CX * (IP 3CX) SipPorts *
> IPv4 * easybell_Sip * (IP 3CX) * *
> IPv4 TCP/UDP * * (IP 3CX) 5060 (SIP) * NAT SIP TKom
> IPv4 UDP * * (IP 3CX) 9000 - 10999 * NAT SIP TKom
> IPv4 TCP/UDP * * (IP 3CX) 5090 * NAT SIP TKom
x IPv4 TCP/UDP GeoIPblock3CX * (IP 3CX) 5001 *
> IPv4 TCP * * (IP 3CX) 5001 * NAT 3CX Adminkonsole TKom
Firewall: NAT: Ausgehend:
Hybride Erstellung ausgehender NAT Regeln
(automatisch generierte Regeln werden nach den manuellen Regeln angewandt)
> WANTelekom (IP3CX)/32 * * * Schnittstellenadresse * JA 3CX
Seht ihr noch eine Schwachstelle ?
LG
-
Hi Kongootto72,
ich frage mich gerade ob ein GeoIP-Alias der nur Deutschland erlaubt nicht ressourcenschonender wäre? Nur so ein Gedanke. Des weiteren würde es die Unschärfe des GeoIP-Alias etwas reduzieren oder liege ich da falsch?
Zitat:
GeoIPblock3CX geoip nur D kann auf 3CX zugreifen DZ, AO, BJ, BW, BF... (alles angehakt außer DE)
Gruß Meditux
-
Hi Kongootto72,
ich frage mich gerade ob ein GeoIP-Alias der nur Deutschland erlaubt nicht ressourcenschonender wäre? Nur so ein Gedanke. Des weiteren würde es die Unschärfe des GeoIP-Alias etwas reduzieren oder liege ich da falsch?
Zitat:
GeoIPblock3CX geoip nur D kann auf 3CX zugreifen DZ, AO, BJ, BW, BF... (alles angehakt außer DE)
Gruß Meditux
Hallo Meditux,
das hört sich plausibel an. Danke dir, werde ich am Montag probieren und berichten.
-
Habe Meditux Vorschlag noch nicht umgesetzt.
Aber es gab nur noch 3 Angriffe am Wochenende auf die PBX . Alle 3 aus D von https://www.abuseipdb.com/whois/54.37.205.94 (https://www.abuseipdb.com/whois/54.37.205.94) der OVH GmbH aus Saarbrücken.
-
Noch einmal dazu die Frage, warum du nicht schlicht einfach NUR deine(n) SIP Provider auf deine Telko intern weiterleitest. Es gibt mW keinen Grund warum du die SIP Ports einfach so generell für alle (auch wenns nur DE ist) aufmachen müsstest. Dann interessieren auch keine "Angriffe" - wie auch immer Angriff zu werten ist(?)
Grüße
-
Noch einmal dazu die Frage, warum du nicht schlicht einfach NUR deine(n) SIP Provider auf deine Telko intern weiterleitest. Es gibt mW keinen Grund warum du die SIP Ports einfach so generell für alle (auch wenns nur DE ist) aufmachen müsstest. Dann interessieren auch keine "Angriffe" - wie auch immer Angriff zu werten ist(?)
Grüße
Klasse ! Danke