Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 9 subscribers
  • Views 153 views
  • Users 0 members are here
Options
Suggested

Port Freigabe - Eingrenzung auf Herkunft?

GG-Star

Hallo Zusammen,

ich würde gerne in der Sophos XGS107 eine Portfreigabe für einen Telefoncloudanbieter einrichten. 

Welche Ports das sind, wird hier sehr gut beschrieben. 

https://www.easybell.de/hilfe/telefon-konfiguration/allgemein/firewall-fuer-easybell-voip-und-sip-trunking-konfigurieren/

Meine Frage ist, kann ich, wenn ja wie, die Quelle eingrenzen? Also nicht einfach nur WAN, sondern die Domain?

In dem Fall z.B. = pbx.easybell.de

Oder wäre das sicherheitstechnisch irrelevant? 

Vielen Dank im Voraus. 



Added TAGs
[edited by: Raphael Alganes at 9:01 AM (GMT -7) on 18 Oct 2024]
Parents
  • 0

    Ich würde den FQHN sowie die aktuelle und die vom TK-Anbieter gelisteten IP's als Quelle zulassen.

    Es kann nicht verkehrt sein, 99% der Weltbevölkerung davon abzuhalten, nach Schwachstellen oder Konfigurationsfehlern im System zu suchen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ich habe eben noch in der Anleitung von Easybell gelesen, dass NAT in 95 % der Fälle reicht. 

    Wäre es also möglich nur NAT einzurichten und auf die Firewall-Regel zu verzichten? Oder muss man beides hinterlegen? 

    Ich will ungern etwas nach außen offen machen, was nicht sein muss. 

    Dann würde ich eine NAT-Regel anlegen Quelle: pbx.easybell.de

    Ziel würde ich eine Gruppe erstellen mit den Easybell-Usern. 

    Wäre das so richtig? Oder bedenklich :- )

    Ich bin neu im Thema Sophos aber sehr interessiert dazuzulernen. Gebt mir eine Chance. 

  • 0 in reply to GG-Star

    Hallo guten Tag,

    in der Regel brauchst du nur eine SNAT Regel, das reicht. Ich habe einige Easybell Cloud TKs sowie Easybell SIP-Trunks in den on premise Anlagen, geht ohne Probleme. Wenn Du eine Easy bell Cloud TK hast. Solltest du auch da die Blocklist von Ländern oder Rufnummern bearbeiten und nicht in der Sophos.

    Mach für die TK eine eigene Firewall Regel, wenn du mehr als einen Internet/WAN Zugang hast SD-WAN Routing anpassen, das es immer über die gleiche Leitung heraus geht! 

    Thats it

    LG

    Patrick

  • 0 in reply to Patrick81

    ok... könntest du etwas spezifischer werden? Ist eine SNAT eine eigene neue Regel? Wo und wie richte ich die ein? 

Reply Children
  • 0 in reply to GG-Star

    In der Regel spricht man immer von SNAT oder DNAT. Eine SNAT ist eine Source Network Address Translation Regel also immer ausgehend (LAN to WAN)! Eine DNAT Regel ist eine Destination Network Address Translation Regel, also eingehend (WAN to LAN). 

    Unter NAT siehst du die Default Regel, das ist eine SNAT von LAN to WAN. Hier steht meist any drin, das ist soweit auch ok. Die fängt ausgehend alles ab, wenn dort drüber nichts definiert ist, da von oben nach unten die Regeln geprüft/abgearbeitet werden, von oben nach unten, findest du bei SD-WAN, Firewall-Regeln, NAT-Regeln. Das sind die 3 wichtigsten, wo man sich drüber bewusst sein sollte, wie diese abgearbeitet werden!

    Im Klar-Text

    Du erstellt eine Firewall Regel für die TK (hast du ja schon). Hast du nun 2 Internetanschlüsse, kannst du über das SD-WAN mit Hilfe der default (S)NAT Regel sagen, welcher WAN Anschluss verwendet werden soll.

    LG

    Patrick

  • 0 in reply to Patrick81

    Ich sehe grade, die Firewall-Regel, ist eine DNAT Regel, von WAN to LAN. Du brauchst eine SNAT, von LAN to WAN. Bei Quellzone deine LAN-Zone, dann Quellnetzwerke und Geräte deine TK, bauen die Clients selbstständig eine Verbindung ins Internet/SIP-Provider auf, stell es auf Beliebig, oder den DHCP Bereich der Clients rein. bei Zielzone WAN rein, Zielnetzwerke = Internet, also auch da = Beliebig, oder die IPs von Easybell rein. Dienste kannst so lassen. VoIP Port 5060 ist auch dabei bei den Diensten?

    PS: Wenn du auch eine DNAT Regel erstellt hast, lösche diese bitte mal.

    LG

    Patrick

Unfiltered HTML