[Sammlung] Firewallregeln für SIP-Anbieter

rmh

Aktives Mitglied
Mitglied seit
6 Jul 2008
Beiträge
1,870
Punkte für Reaktionen
13
Punkte
38
Hallo zusammen,

da ich derzeit alle Firewall-Regeln für meine SIP-Anbieter aktualisiere, dachte ich, das könnte mehrere Personen interessieren und man könnte eine öffentliche Sammlung daraus machen.
Falls ihr ähnliche Restriktionen vorgenommen habt oder die Range eurer Anbieter kennt, immer her damit. Danke. :cool:

Ich mache mal den Anfang:

Personal-VoIP (Quelle)
Zweck
IP-Adressen/Netzwerk
Ports
SIP46.182.249.32/28
46.182.250.46
5060,5061,5083
RTP46.182.249.32/2810000:59000


Placetel (Quelle)
Zweck
IP-Adressen/Netzwerk
Ports
SIP62.134.52.210
62.134.52.211
62.134.52.212
5060
RTP62.180.224.64/28
62.134.52.192/28
62.180.25.128/27
5.35.248.218
91.250.87.104
212.82.247.32/27
185.79.24.0/22
10000:60000


Sipgate (Quelle)
Zweck
IP-Adressen/Netzwerk
Ports
SIP (sipgate.de)217.10.79.9, 217.10.68.1475060
SIP (sipgate.de Trunking)217.10.68.1505060
SIP (sipgate.co.uk)217.10.79.23, 217.10.68.1495060
RTP217.10.64.0/20
217.116.112.0/20
212.9.32.0/19
15000:30000
 
Zuletzt bearbeitet:

sparkie

Aktives Mitglied
Mitglied seit
13 Nov 2005
Beiträge
1,592
Punkte für Reaktionen
19
Punkte
38
gute Idee:)

bei mir sieht die Konstellation etwas anders aus:
- ich betreibe einen Asterisk hinter einem Router (port restricted cone)
- der Asterisk ist SIP Server zu Geraeten im lokalen Netz
- der Asterisk ist SIP Client zu Servern div. VoIP Provider im Internet
- der 5060 wird bei mir nur per conntracking (nach register) von extern->intern geforwarded
- der RTP Portbereich wird statisch von extern->intern geforwarded
- ich versuche mit moeglichst wenig expliziten IP-Daten der Provider auszukommen.

- folgende relevanten Einstellungen im Router:
Code:
iptables:
SIP_RTP_RANGE = "14532:14565"

-A FORWARD -i $EXT_IF -o $IN0_IF -d $DIMBIP -p udp --dport $SIP_RTP_RANGE -j ACCEPT      
-A PREROUTING  -t nat -i $EXT_IF -d $EXT_IP -p udp --dport $SIP_RTP_RANGE -j DNAT --to $DIMBIP

/proc/sys:
/bin/echo 70 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
- fuer ip_conntrack_udp_timeout ist standardmaessig nur 30s eingetragen was fuer 60s Keepalives zu wenig ist -> deswegen erhoehen auf 70s
- durch die Keepalives (alle 60s) wird der SIP Port zuerst fuer 70s, anschliessend nach dem 2. Keepalive 180s (Standard ip_conntrack_udp_timeout_stream) offengehalten

- folgende relevanten Einstellungen im Asterisk:
Code:
/etc/asterisk/rtp.conf:
[...]
rtpstart=14532
rtpend=14564
[...]

/etc/asterisk/sip.conf:
[...]
[general]
bindport=5060
qualify=no
nat=no
externaddr=$EXT_IP
localnet=192.168.0.0/255.255.0.0
[...]

[...]
[129839842]
type=peer
qualify=yes      ; defaults to 60s
[...]
Code:
legende:
SIP_RTP_RANGE - Portbereich fuer RTP (umfasst rtpend+1 wegen RTCP)
EXT_IF        - externes Interface (zum Internet)
IN0_IF        - internes Interface (zum lokalen Netz)
DIMBIP        - lokale IP Asterisk
EXT_IP        - externe IP (oeffentliche IP Internet)
diese Konfiguration funktioniert eigentlich mit allen von mir
bislang genutzten VoIP Providern (inklusive neuem
Vodafone-SIP nach Routerfreiheit)