TP-LINK TD-W8901GB - jak zablokovat SIP port
Ahoj,
rodina používá ADSL router TP-LINK TD-W8901GB. Poslední dobou se někdo nejspíš pokouší zneužít port 5060. Pro voip tam používám nestandardní port (voIP operátor Odorik to podporuje), takže bych 5060 rád zakázal. Zdá se ale, že tenhle router to neumí - mám firewall zapnutý ale SPI musí být vypnuté, protože jinak nefunuje správa přes WAN.
Nastavil jsem si tedy port forwarding tak, že 5060 je směrován na neexistující IP adresu ve vnitřní síti. Síťaři - bude to fungovat?
Přinejhorším bych musel ten TPLINK vyhodit a koupit nějaký Linksys, který už by snad mohl být v nastavení pružnější...
Celou tuhle anabázi podstupuju, protože někdo zvenku volá na voIP telefon připojený za routerem ve vnitřní síti (s adresou 192.168.x.x) a voIP operátor (Odorik) s tím nic nezmůže, protože to nejde z jeho sítě. Někdo vždycky zavolá (třeba ve dvě v noci), na displeji je "unknown" místo čísla volajícího a na druhé straně drátu je ticho...
Případně můžu zkusit požádat operátora o zablokování portu 5060 na jejich straně...?
Díky za rady.
Ja to nechapem, mas VOIP, nemas ho na porte 5060 a napriek tomu tvrdis, ze sa v noci niekto dovola? Co to je za nezmysel?
A ked raz mam tvoje voip cislo mozes byt na hocijakom porte, ja sa dovolam vzdy, takze co to vlastne chces???
Zjednoduším to.
Chci zablokovat pro přístup zvenku port 5060. Router to neumí. Bude mít srovnatelný účinek přesměrování portu 5060 na neexistující IP adresu ve vnitřní síti?
Ahoj Moasi,
z mého pohledu máš v tom celém trochu hokej (Kometáááá
)
1. není důvod pro vypínání SPI - je třeba vše jen korektně nastavit, administrace z webu musí být možná i s aktivovaným SPI
2. neměl by být důvod forwardovat port pro SIP telefon - většina SIP zařízení už umí fungovat bez forwardnutého portu (udržují s ústřednou aktivní spojení)
3. výše uvedené v bodě 2. má vliv na to, že jakýkoli portscan tvé IP adresy automaticky triggeruje SIP port (čehož si útočník samozřejmě všimne a z komunikace zjistí, že se jedná o SIP a pokusí se zavolat a zneužít/vydělat peníze)
4. forward 5060 na neexistující adresu je samozřejmě nesmysl, tento port jednak není teď forwardován vůbec (takže na řešení problému zvonícího telefonu vliv nemá) a navíc forward na neexistující IP vypadá z "druhé strany" jako "mrtvý" port. Tvůj problém je ten "reálný" nestandardní SIP port.
edit ad 2. - otevřený SIP port potřebuješ jen pro direct SIP-SIP spojení bez ústředny...
Hokej nepopírám.
)
1. Bohužel to "korektní nastavení" ten TPlink nějak nedává (a - jistě - nebo to nedávám já) - nepodařilo se mi zprovoznit administraci přes web se zapnutým SPI
2. Taky jsem to neměl, spíš se snažím zabránit jakékoliv komunikaci po 5060
3. nechci, aby SIP port jakkoliv reagoval
4. Nechápu (ovšem neříkám, že to není polopaticky vysvětleno
Řeším to s podporou Odorika.
1. SPI je marketingova blbost, jeho zapnutie ti nic nevyriesi.
2. AKy mas na na to dovod? Preco ten port proste nezavres, respektive nezrusis forward?
3. Port na nic nereaguje, ak nastavis portforward tak presunie packet do lan siete na prislunu ip a port. Ak forward zrusis, zostane zatvoreny.
4. Tw ti vysvetlil, ze na volanie nepotrebujes pouzit ziadny forwarding, klient sa regne na ustreni a udrzuje v urcitych intervaloch zive spojenie s ustrednou, preto ustredna vie kam ma poslat packet aj bez forwardu.
To, co riesis je podla mna uplne odveci e vobec neriesi tvoj problem.
Tak teď teda nevim, jestli to mám nebo nemám zapínat.
ad 2) I když tam nemám žádé forwardy, tak stále někdo "Unknown" občas zvoní. Proto hledám způsob, jak to znemožnit.
Jinak díky za trpělivost - kdybyste snad někdo měli tu chuť pohrabat se v administraci nejlowendovějšího routeru od TPLINKu a nastavit mi to, pošlu vám přístupové údaje, ovšem přes PM.
klidně pošli. Je to klasický model DSL routeru (brandují jej např. i u Ovisu - ale domodra
)
SPI je defacto možnost řídit tok dat přes firewall pomocí stavů (tj. nové spojení, existující spojení, apod.). Neřekl bych, že je to zbytečné, ale taky to není extrémní nutnost, pokud je tam NAT.
Btw kvůli problémům s "mršením" SIP paketů jsem musel podle návodu viewtopic.php vypinat SIP ALG. Následně jsem ještě měnil na voIP telefonu port z 5060 na 6688, protože po restartu routeru se ten SIP ALG zapínal znovu. Může to mít nějaký vliv?
Ještě chvílu budu laborovat a pak posílám PM. :) Díky.
SPI je vlastne analyza packetu, ktoru prevadza router. Nakolko tieto routre su slabucke, co sa tyka ram a vykonu procesora povazujem taketo zatazovanie za zbytocne. Na papiery to, ale vyzera dobre, preto to povazujem za marketingovu blbost pri SOHO routroch. Cize samotne SPI nie je blbost, SPI na SOHO routroch je blbost.
Navyse pokial ti SPI neumoznuje ziadne nastavenie zablokujes si takto kopec sluzieb, napriklad v tvojom pripade remote managment (aj ked ten by ti ist mal), pretoze SPI vyhodnoti prichadzajuci packet ako nelegitimny a odmietne ho.
Este raz...akonahle mas pridelene telefonne cislo mozem ti zazvonit hocikedy bude stanica zapnuta, s forwardom to nema nic spolocne. Proste stanica sa zapne, logne na server a v tom okamihu je aktivna a mozem na nu zvonit. Chapes uz?
Už začínám chápat.
Otázka tedy zní - co je potřeba udělat, abych tyhle hovory, které nejdou od Odorika, na routeru zarazil? Jde to vůbec nějak?
Nie nejde.
Pokial ti vadi zvonenie v noci mas niekolko moznosti.
Bud poziadas operatora o zablokovanie nocnych hovorov ak to pojde.
Poziadas o zablokovanie cisla, z ktoreho sa nocne zvonenie prevadza ak to pojde.
Alebo ti umozni samotny klient blokovanie prichadzajuce hovoru (nie kazdy to vie).
Alebo si zistis cez aky port sa napaja tvoja stanica na ustrednu a ten na noc zablokujes (toto vies spravit, ale len na linuxe, alebo Mikrotiku urcite nie na tom co mas doma).
Alebo jednoducho na noc vypnes klienta.
Ono je to v základu ztížené tím, že tyhlety náhodné hovory nejdou jen v noci, ale i přes den.
A vůbec nejdou přes operátora, ten mi nemá jak pomoct.
Ani číslo nemůžu zablokovat, na displeji svítí vždy "Unknown".
Nie som expert na infrastrukturu VoIP sieti, ale podla mna kazdy hovor musi ist cez operatora. Tvoj klient sa registruje do jeho VoIP a jeho VoIP server je napojeny na ostatne siete, cize hovor mozno nejde z jeho siete, ale podla mna ide cez jeho servre, cize mal by mat prehlad o tom kto ti vola.
nemusí jít. V okamžiku, kdy máš dostupný SIP port, je možné volat napřímo, mezi jednotlivými SIP klienty bez účasti ústředny (buď částečně, tj. ústředna zprostředkuje spojení a dále se neangažuje, nebo úplně samostatně - toto se využívá např. u SIPovských domovních telefonů/vrátníků). RTP protokol je na to dokonce přímo uzpůsoben.
Dobre, ale to plati v ramci jednej siete nie? Akonahle vola klient z inej siete (co podla informacii vola) musi to ist cez ustrednu.
nemusí. Prostě voláš IP adresu. Zapomeň na domény a tyhle vyfikundace. Ty jsou potřeba, pokud pod jednou IP adresou/doménou vystupuje vícero IP telefonů (a tedy i SIP PBX). V okamžiku, kdy použiješ RTP na správné IP a portu, tak ten telefon začne zvonit. Neukáže žádné zásadní info (snad jen IP adresu - to záleží na inteligenci a možnostech SIP aparátu), ale bude fugovat.
Ha to je nejaky chytak.
Nemozem predsa volat priamo IP, pretoze klient je za natkom a ziadny portforwarding tam nie je. Navyse klient udrzuje aktivne spojenie s ustrednou, a preto zakonite packety musia ist cez ustredna, iba ona vie kam ich ma poslat.
Posielanie priamo na IP by mohlo fungovat v pripade zapnute portforwardingu.
V dotazu čtu:
takže bych tam ten portforwarding předpokládal.
ten port je nastaven na fyzickém voip telefonu. Ne na routeru.
no a nemáš v routeru povolené uPnP?
To nemám.
no však:
1. v dotazu je psáno, že je forwardován port
2. psal jsem to obecně, bez vztahu k Moasově dotazu.
Mozno by pomohlo jednoduche a nenarocne riesenie ak si kupis router, ktory ma firewall, kde sa daju blokovat porty a das ho za ADSL router. Da sa pouzit hocijaky bazarovy v cene 20-50 korun, ktory ma ten spravny firewall.
ten DSL router má normální iptables, v tom bych problém neviděl, spíše je někde problém v konfiguraci.