Firewall Regel für eingehende Telefonverbindungen ...

chrisul · ‎25.11.2024

Hallo Community,

vor kurzem habe ich erfolgreich von der Vodafone Station auf ein Arris CM3500 Kabelmodem umgestellt. Die Telefonie mache ich jetzt über eine im Client Modus betriebene FritzBox 7490. Dazu musste ich in meiner Firewall (Unifi Dream Machine) eingehend den SIP Port 5060 öffnen: From any:5060 to <FritzBox-IP>:5060 für TCP und UDP (TCP kann ich wahrscheinlich noch entfernen).

Ich habe allerdings mittlerweile festgestellt, dass im Firewall-Log viele Einträge dieser Art auftauchen:

IPS Alert 2: Attempted Information Leak. Signature ET SCAN Sipvicious Scan. From: 185.243.5.55:5070, to: <FritzBox-IP>:5060, protocol: UDP

Nun frage ich mich, ob ich die eingehende Regel etwas enger fassen kann. Kommen die eingehenden SIP Pakete aus einem bestimmten Vodafone IP-Bereich?

Danke und schöne Grüße.

andreasabaad · ‎25.11.2024

Höchstwahrscheinlich mischt dein eigener Router da mit! Vodafone kann dir dabei aber nicht helfen!

chrisul · ‎25.11.2024

Tut mir Leid, ich habe wohl meine Frage etwas zu ungenau formuliert. Welche Vodafone IPv4 Adressen stehen hinter sip.kabelfon.vodafone.de? Weiß das hier jemand? Wenn ich mit nslookup nachschaue, kommt derzeit 178.13.17.134. Aber ich nehme an das wird nicht nur eine IPv4 Adresse sein. Der Vodafone Block, in den die Adresse fällt ist 178.0.0.0 bis 178.15.255.255.

Danke.

chrisul · ‎26.11.2024

Zur Info: Ich hab gestern Nachmittag die Firewall Regel etwas enger gefasst und seitdem keine Sipvicious Scans mehr gesehen. Zugelassen sind eingehend jetzt nur noch IPv4 Adressen aus dem Bereich 178.0.0.0/12 und Port 5060. Sind immer noch viele Adressen, aber die gehören alle Vodafone.

chrisul · ‎26.11.2024

@Th3H4cK3r: Ich hab gesehen, dass du vor Jahren auch mal nach den IP-Ranges der Vodafone SIP und RTP Server gefragt hast. Hast du die Informationen mittlerweile bekommen?