Willkommen im Zyxel Community Forum!

Für Support Anfragen besuchen Sie http://support.zyxel.eu unser neues Support Portal!
Aktuelle Zeit: Mittwoch 1. März 2017, 19:46

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



 


Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: ZyWALL USG100-PLUS Firewall-Verwirrung
BeitragVerfasst: Dienstag 13. Dezember 2016, 10:33 
Offline
Hilfesuchender

Registriert: Dienstag 13. Dezember 2016, 09:55
Beiträge: 4
Tag beisammen!

Nachdem der SIP-Spam mittels INVITE of Death seit gestern überhand genommen hat, habe ich versucht, dem ganzen Herr zu werden.

Vorab zum Gerät: ZyWALL USG100-PLUS / Boot Module: 1.17 / Current Version: V3.30(AACV.7) / Released Date: 2015-01-14 21:15:46

Mein Plan war, sämtliche SIP-Packets (UDP 5061-5090, 5060 soll generell draußen bleiben) mittels Firewall auszusperren und nur per vorgeschalteter Regel nur SIP-Traffic von der IP unseres Providers (IP 95.129.x.x) rein zu lassen. Leider bin ich schon an der ersten Einstellung kläglich gescheitert und habe keine Ahnung wieso. Nachfolgend die Beschreibung:

Netzwerk -> ALG: ALG ist vollständig deaktiviert, sämtliche Haken nicht gesetzt
Objekt -> Dienst: Folgendes Objekt für SIP-Packets wurde erstellt und aktiviert (Lampe ist gelb):
Code:
SIP_UDP | UDP/5061-5090

Firewall: Folgende Regel ist gesetzt:
Code:
Priorität: 3 | Von: WAN | An: LAN1 | Plan: none | Benutzer: any | IPv4-Quelle: any | IPv4-Ziel: any | Dienst: SIP_UDP | Zugriff: deny | Protokoll: log


NAT-Regel zur Weiterleitung der Packets an die Telefonanlage ist eingerichtet, aber deaktiviert (Lampe ist grau)

Die merkwürde Situation in der ich jetzt bin, ist zweigestalt:
Erstens: Die obige FW-Regel greift nicht, sämtlicher Traffic, welcher im Log im o.g. Portbereich anfällt, wird erst von der Standardregel gefangen (Match default Rule, DROP ||| ACCESS Block)
Zweitens: Obwohl die Packets laut Log blockiert werden, kann ich die Telefonanlage über die VOIP-Nummer erreichen. Die Packets des Providers werden als blockiert angezeigt, telefonieren funktioniert trotzdem. Lustigerweise bleibt der der Spam allerdings draußen. Insgesamt stellt es für mich allerdings eine potenziell sehr gefährliche Situation dar, wenn Daten zwar laut Log blockiert werden, aber nachweislich trotzdem weitergeleitet werden. VOIP-Telefonie funktioniert rein wie raus.

Ich hoffe mir kann hier jemand erklären, was genau ich falsch mache, denn ich hoffe inständig, dass das ein PEBKAC-Fehler ist. Vielen Dank schonmal.

_________________
ZyWALL USG100-PLUS / Boot Module: 1.17 / Current Version: V3.30(AACV.7) / Released Date: 2015-01-14 21:15:46


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: ZyWALL USG100-PLUS Firewall-Verwirrung
BeitragVerfasst: Dienstag 13. Dezember 2016, 12:29 
Offline
Hilfesuchender

Registriert: Dienstag 13. Dezember 2016, 09:55
Beiträge: 4
So, noch ein Packet Capture hinterher geschoben und konnte auch mit Daten verifizieren, dass die Packets vom Provider, an dem die Telefonanlage (Auerswald 5020 VoIP) angemeldet ist, in beide Richtungen durch gehen trotz Firewall-Regel und deaktiviertem ALG. Tauchen sowohl im wan2_ppp als auch im lan1 Interface auf. Die Spam-INVITEs bleiben glücklicherweise draußen.

_________________
ZyWALL USG100-PLUS / Boot Module: 1.17 / Current Version: V3.30(AACV.7) / Released Date: 2015-01-14 21:15:46


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: ZyWALL USG100-PLUS Firewall-Verwirrung
BeitragVerfasst: Mittwoch 14. Dezember 2016, 12:03 
Offline
Hilfesuchender

Registriert: Dienstag 13. Dezember 2016, 09:55
Beiträge: 4
Kurzer Nachtrag: Das funktionieren der Telefonanlage scheint am eingeschalteten NAT-Traversal in der selbigen zu liegen. Warum die FW allerdings nicht mit der entsprechenden Regel die Spam-Packets hält, ist mir immernoch schleierhaft.

_________________
ZyWALL USG100-PLUS / Boot Module: 1.17 / Current Version: V3.30(AACV.7) / Released Date: 2015-01-14 21:15:46


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: ZyWALL USG100-PLUS Firewall-Verwirrung
BeitragVerfasst: Mittwoch 14. Dezember 2016, 12:21 
Offline
Mitglied

Registriert: Montag 6. Juli 2015, 15:30
Beiträge: 41
Hi

Die eingehenden SIP Pakete die du trotz Inbound Firewall Regel beobachtest gehören zu einem von deiner Telefonanlage ausgehend initierten Flow. Die SPAM-Pakete hingegen nicht, darum werden sie von der Firewall geblockt. Zumindest als sehr kurze Ausführung :)

Gruss
Line2


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: ZyWALL USG100-PLUS Firewall-Verwirrung
BeitragVerfasst: Mittwoch 14. Dezember 2016, 16:17 
Offline
Hilfesuchender

Registriert: Dienstag 13. Dezember 2016, 09:55
Beiträge: 4
Danke für die Antwort, hatte ich mir auch so (ähnlich) erklärt mit dem NAT-Traversal. Habe mich nur gewundert, dass die FW die durch lässt, obwohl der entsprechende Portbereich explizit gesperrt ist.

Aber wie gesagt, ich wüsste immer noch gerne, was an meiner Regel falsch ist, so dass die SIP-Packets, die nicht von meinem Provider stammen, nicht von der Regel gefangen werden sondern erst von der Standardregel.

_________________
ZyWALL USG100-PLUS / Boot Module: 1.17 / Current Version: V3.30(AACV.7) / Released Date: 2015-01-14 21:15:46


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: ZyWALL USG100-PLUS Firewall-Verwirrung
BeitragVerfasst: Donnerstag 15. Dezember 2016, 11:10 
Offline
Mitglied

Registriert: Sonntag 29. Dezember 2013, 19:07
Beiträge: 37
Die Filterregel WAN zu LAN1 greift nur, wenn eine Weiterleitung ins LAN eingerichtet und aktiv ist, ansonsten laufen die Pakete unter WAN zu Zywall auf und müssten dort geloggt werden.


Nach oben
 Profil  
 
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder: Google [Bot]


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de


Impressum


Hubwagen  - Hubtisch  - Hochhubwagen  - günstige Hubwagen  - Hubwagen  - Hubtisch  - Scherenhubtische  - günstige Kehrmaschinen