Mit ipfire core Version 100 bis zur aktuellen 110 haben wir das Phänomen, dass eingehende SIP INVITES von der FW blockiert wurden, obwohl es einen ständigen Ping Pong gibt zwischen TK-Anlage dahinter und Provider in der Form:

IP 192.168.2.251.5060 > 195.185.37.60.5064: SIP: OPTIONS sip:sip.easybell.de SIP/2.0
IP 195.185.37.60.5064 > 192.168.2.251.5060: SIP: SIP/2.0 200 Alive

Kommt jetzt jedoch ein Anruf rein, wird dieser durch die ipfire FW blockiert:

06:06:08.098003 IP 195.185.37.60.5060 > 192.168.2.251.5060: SIP: INVITE sip:zielnummer@öffentliche-IP:5060 SIP/2.0
May 17 06:06:23 ipfire kernel: DROP_FORWARD IN=red0 OUT=green0 MAC=BEKANNT SRC=195.185.37.60 DST=192.168.2.251 LEN=764 TOS=0x00 PREC=0x00 TTL=57 ID=63961 DF PROTO=UDP SPT=5060 DPT=5060 LEN=744

Wir haben uns jetzt mit einer FW-Regel beholfen, die eingehend obigen Block ausnimmt. Da wir davor noch eine weitere FW besitzen, die korrekt nattet, sehen wir hier kein Sicherheitsproblem. Die FW davor hat korrekt erkannt, dass dies Teil einer bestehenden Verbindung ist.

Categories: Blog