Port Freigabe - Eingrenzung auf Herkunft?

Ich würde den FQHN sowie die aktuelle und die vom TK-Anbieter gelisteten IP's als Quelle zulassen.

Es kann nicht verkehrt sein, 99% der Weltbevölkerung davon abzuhalten, nach Schwachstellen oder Konfigurationsfehlern im System zu suchen.

Ok, verstanden.Danke.

das hier ist die aktuelle Config für eine 3CX Anlage. 

Wäre es korrekt, wenn ich die Quelle dann unter dem Quellnetzwerk hinterlege? 

 Es ist also immer ratsam das Quellnetzwerk bzw. Zielnetzwerk festzulegen, wenn es sich nicht oder sehr selten ändert korrekt?  

Ich habe eben noch in der Anleitung von Easybell gelesen, dass NAT in 95 % der Fälle reicht. 

Wäre es also möglich nur NAT einzurichten und auf die Firewall-Regel zu verzichten? Oder muss man beides hinterlegen? 

Ich will ungern etwas nach außen offen machen, was nicht sein muss. 

Dann würde ich eine NAT-Regel anlegen Quelle: pbx.easybell.de

Ziel würde ich eine Gruppe erstellen mit den Easybell-Usern. 

Wäre das so richtig? Oder bedenklich :- )

Ich bin neu im Thema Sophos aber sehr interessiert dazuzulernen. Gebt mir eine Chance. 

Hallo guten Tag,

in der Regel brauchst du nur eine SNAT Regel, das reicht. Ich habe einige Easybell Cloud TKs sowie Easybell SIP-Trunks in den on premise Anlagen, geht ohne Probleme. Wenn Du eine Easy bell Cloud TK hast. Solltest du auch da die Blocklist von Ländern oder Rufnummern bearbeiten und nicht in der Sophos.

Mach für die TK eine eigene Firewall Regel, wenn du mehr als einen Internet/WAN Zugang hast SD-WAN Routing anpassen, das es immer über die gleiche Leitung heraus geht! 

Thats it

LG

Patrick

ok... könntest du etwas spezifischer werden? Ist eine SNAT eine eigene neue Regel? Wo und wie richte ich die ein? 

In der Regel spricht man immer von SNAT oder DNAT. Eine SNAT ist eine Source Network Address Translation Regel also immer ausgehend (LAN to WAN)! Eine DNAT Regel ist eine Destination Network Address Translation Regel, also eingehend (WAN to LAN). 

Unter NAT siehst du die Default Regel, das ist eine SNAT von LAN to WAN. Hier steht meist any drin, das ist soweit auch ok. Die fängt ausgehend alles ab, wenn dort drüber nichts definiert ist, da von oben nach unten die Regeln geprüft/abgearbeitet werden, von oben nach unten, findest du bei SD-WAN, Firewall-Regeln, NAT-Regeln. Das sind die 3 wichtigsten, wo man sich drüber bewusst sein sollte, wie diese abgearbeitet werden!

Im Klar-Text

Du erstellt eine Firewall Regel für die TK (hast du ja schon). Hast du nun 2 Internetanschlüsse, kannst du über das SD-WAN mit Hilfe der default (S)NAT Regel sagen, welcher WAN Anschluss verwendet werden soll.

LG

Patrick

Ich sehe grade, die Firewall-Regel, ist eine DNAT Regel, von WAN to LAN. Du brauchst eine SNAT, von LAN to WAN. Bei Quellzone deine LAN-Zone, dann Quellnetzwerke und Geräte deine TK, bauen die Clients selbstständig eine Verbindung ins Internet/SIP-Provider auf, stell es auf Beliebig, oder den DHCP Bereich der Clients rein. bei Zielzone WAN rein, Zielnetzwerke = Internet, also auch da = Beliebig, oder die IPs von Easybell rein. Dienste kannst so lassen. VoIP Port 5060 ist auch dabei bei den Diensten?

PS: Wenn du auch eine DNAT Regel erstellt hast, lösche diese bitte mal.

LG

Patrick