Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

IPTABLES und H323

Gast tuxtom
Gast tuxtom
in Security

Empfohlene Antworten

Veröffentlicht

Moin Alle,

ich würde gerne meine Videokonferenz durch einen Paketfilter laufen lassen. Protokoll ist H323. (Vorgaben)

Hat da jemand schon Erfahrungen mit IPTABLES und H323 ?

Und wie sieht es mit VPN aus ?

Oder vielleicht mit Proxy ?

Welche Gefahren gibt es mit den Protokollen ?

Gruß, Tom.

VPN: Kommt drauf an, welches VPN-Protokoll genutzt wird (PPTP, L2TP ohne IPsec, L2TP mit IPsec ohne NAT-T, L2TP mit IPsec und NAT-T, OpenVPN oder ...).;)

VPN wuerde ich nicht nur mit einem Paketfilter (iptables) ermoeglichen, sondern auch einen Proxy einsetzen, der fuer die VPN-Clients nur das Notwendige durchlaesst. D.h. so weit einschraenken, dass VPN-Clients nur auf bestimmte Server zugreifen und/oder nur bestimmte getunnelte Protokolle nutzen duerfen.

Anderes Stichwort bei VPN: VPN-Quarantaene

Wie stellst Du sicher, dass nur Systeme mit bestimmten Voraussetzungen (z.B. aktueller Virenscanner, aktuelle Patches, keine anderen offenen Verbindungen bei geoeffneter VPN-Sitzung) auf Dein Netzwerk als VPN-Clients zugreifen duerfen und somit Systeme, die Deinen Voraussetzungen nicht entsprechen entweder abgewiesen oder auf extra eingerichtete Updateserver gelenkt werden?

Ohne die Beachtung der beiden genannten Punkte - Zugriffseinschraenkung der VPN-Clients auf das Notwendigste und Nutzung von VPN-Quarantaene-Mechanismen - wird mit VPN eine weitere potentielle Gefahrenquelle geoeffnet.;)

H.323 verwendet diese Ports:

389 TCP (ILS)

522 TCP (User Location Service)

1503 TCP (T.120)

1720 TCP (H.323 call setup)

1731 TCP (Audio call control)

Zusaetzlich werden für H.323 weitere dynamische Ports für Call Control (ebenfalls TCP) und das eigentliche Streaming der Daten (UDP) verwendet.

Viele Firewalls haben wegen den zusaetzlichen dynamischen Ports grosse Probleme mit H.323. Abhilfe schaffen hier H.323-Gatekeeper.

Moin,

um zu unserem Gatekeeper zu kommen muß ich aber durchs Internet. (Vorgabe) Und so einfach unsere Firewall abzuschallten ist nicht. VPN hab ich erst einmal zurückgestellt. Firewall hat Vorrang. Würde es reichen den 2.4er Kernel mit h323-contrack-nat zu patchen, das Module zu laden und die Ports explizit freizuschallten ?

tcp / 389

tcp / 522

tcp / 1503

tcp / 1720

tcp / 1731

Gruß, Tom.

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.