Utiliser iChat avec un coupe-feu ou un routeur NAT
Résumé
Lorsque vous utilisez iChat avec des routeurs NAT ou des coupe-feu, certains ports doivent être ouverts pour autoriser les conférences vidéo et audio derrière un coupe-feu. Par défaut, ces ports sont ouverts sur certains périphériques, mais d’autres nécessitent une configuration. Remarque : cet article répertorie tous les ports utilisés par iChat, et pas seulement ceux utilisés pour le contenu audiovisuel. Vous trouverez une liste des fonctions de chaque port à la page « Ports TCP et UDP « connus » utilisés par les produits logiciels Apple ».
Produits concernés
iChat
Traduction d’adresse réseau (NAT, Network Address Translation)
Certains fournisseurs d’accès Internet (FAI) et certains routeurs de réseaux domestiques utilisent une technologie nommée traduction d’adresse réseau, encore appelée NAT, pour partager une connexion Internet. Bien que cela interfère souvent avec les connexions vidéo et audio d’autres applications de conférence, iChat AV emploie une approche novatrice pour établir une connexion audio et vidéo directe même sur les réseaux utilisant NAT. iChat AV fonctionne en fait sans problème avec de nombreux routeurs domestiques dans leur configuration par défaut. Vous pouvez consulter une liste de ces routeurs dans cet article.
À propos des coupe-feu
Fréquemment utilisés par les entreprises et les établissements d’enseignement dans le but d’augmenter la sécurité, les coupe-feu fonctionnent en empêchant une partie du trafic Internet de pénétrer un réseau ou d’en sortir. Mac OS X inclut aussi un coupe-feu personnel que vous pouvez activer dans la sous-fenêtre Partage des Préférences Système.
Le trafic Internet passe à travers un coupe-feu en fonction de numéros d’identification de service nommés ports. Certains ports doivent être ouverts pour qu’iChat fonctionne. Les administrateurs réseau ouvrent généralement un minimum de ports réseau et n’autorisent que le trafic en provenance et à destination d’applications approuvées à quitter et à pénétrer le réseau, tout en bloquant le reste du trafic réseau.
iChat AV utilise un ensemble de ports pour des buts différents. En mode conférence, les ports 16384 à 16403 sont utilisés pour envoyer, recevoir et optimiser les flux audio-vidéo. Dans une conférence unique, quatre ports parmi ces 20 sont utilisés pour envoyer et recevoir l’audio et la vidéo. En outre, le port 5060 est utilisé pour signaler et initier des invitations à des conversations audio-vidéo et le port 5678 pour SNATMAP, soit un total de 22 ports ouverts. Les ports utilisés à d’autres fins, notamment Bonjour et le transfert de fichiers, sont répertoriés dans les deux sections suivantes.
Astuce : le trafic qui passe à travers les ports peut être subdivisé en différents types, notamment TCP et UDP. iChat utilise ces deux protocoles, mais principalement UDP. Les utilisateurs avancés trouveront des renseignements supplémentaires à ce sujet dans la section Remarques ci-dessous.
Ports à ouvrir pour le coupe-feu Mac OS X
Si vous utilisez le coupe-feu Max OS X intégré, il vous suffit d’ouvrir les ports 5060, 5190, 5297, 5298, 5678 et 16384 à 16403. Si vous utilisez Jabber sous Mac OS X 10.4 ou ultérieur, ouvrez également les ports 5220, 5222 et 5223.
Astuce : si vous souhaitez simplifier les choses, vous pouvez désactiver temporairement le coupe-feu de chaque ordinateur.
Si vous souhaitez avoir une conversation alors que le coupe-feu Mac OS X est actif, procédez comme suit pour ajouter les ports nécessaires.
- À partir du menu Apple, choisissez Préférences Système.
- À partir du menu Présentation, choisissez Partage.
- Cliquez sur l’onglet Coupe-feu.
- Cliquez sur Nouveau.
- Dans le menu local Nom du port, choisissez Autre.
- Sous Mac OS X 10.3.9 ou antérieur, dans le champ Série, plage ou numéro de port, tapez les numéros suivants, puis passez à l’étape 7 :
5060, 5190, 5297, 5298, 5678, 16384-16403
Sous Mac OS X 10.4 ou ultérieur, dans le champ Numéros de port TCP, tapez les numéros suivants (vous pouvez ignorer les ports 5220, 5222 et 5223 si vous n’utilisez pas Jabber) :
5190, 5220, 5222, 5223, 5298
Dans le champ Numéros de ports UDP, tapez les numéros suivants :
5060, 5190, 5297, 5298, 5353, 5678, 16384-16403 - Dans le champ Description, tapez : iChat
- Cliquez sur OK.
Ports à ouvrir pour les coupe-feu tiers
Si vous utilisez un coupe-feu tiers, ouvrez les ports suivants :
5060, 5190, 5297, 5298, 5353, 5678, et 16384 à 16403.
Si cela ne fonctionne pas, essayez d’ouvrir tous les ports de la plage 1024 à 65535 (ou de désactiver temporairement le coupe-feu).
Informations de configuration avancée
Les routeurs et les coupe-feu plus complexes peuvent vous permettre d’indiquer des critères tels que les protocoles TCP/UDP, les paquets entrants/sortants ou les ports source/de destination. Si vous êtes dans ce cas de figure, utilisez un des tableaux suivants. La configuration A est moins sécurisée que la configuration B mais elle fonctionne avec un plus grand nombre de configurations de routeur.
Configuration A
| Port source interne | Port de destination externe |
| 5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384-16403 | 1024-65535 |
| Port source externe | Port de destination interne |
| 1024-65535 | 5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384-16403 |
Configuration B
Paquets sortants
| Port source interne | Port de destination externe |
| 5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 16384-16403 | 5060, 5190, 5297, 5298, 5353, 5678 16384-16403 |
Paquets entrants
| Port source externe | Port de destination interne |
| 5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678 16384-16403 | 5060, 5190, 5297, 5298, 5353, 16384-16403 |
Informations supplémentaires
Remarques
- Tout le trafic d’iChat est de type UDP, à l’exception des ports 5190 et 5298, qui doivent être ouverts à la fois pour TCP et UDP ; les ports 5220, 5222 et 5223 doivent l’être uniquement pour TCP.
- Les ports 5297, 5298 et 5353 ne sont utilisés que pour le trafic local. Il peut être nécessaire de les ouvrir si le logiciel coupe-feu réside sur un ordinateur et non sur un routeur. Il n’est pas nécessaire d’ouvrir ces ports au niveau de votre liaison vers Internet.
- Le coupe-feu de Mac OS X qui se trouve dans la sous-fenêtre Partage des Préférences Système ne filtre que les paquets TCP sous Mac OS X 10.3.9 ou antérieur. C’est pourquoi il n’est pas nécessaire que la plupart des ports mentionnés ici soient ouverts au niveau du coupe-feu de Mac OS X.
- Il se peut que certaines fonctions ou configurations spécifiques à un routeur interfèrent avec iChat, par exemple le mappage de port à l’une des extrémités, la réécriture SIP, l’élimination SIP ou l’ouverture dynamique de ports média.
- Pour plus d’informations sur les problèmes de coupe-feu spécifiques au transfert de fichiers, veuillez consulter l’article « iChat : impossible d’envoyer ou de recevoir un fichier lorsque le coupe-feu est actif ».
- Le service SNATMAP du port 5678 sert à déterminer l’adresse Internet externe d’hôtes de façon à ce que les connexions entre des utilisateurs iChat puissent fonctionner correctement derrière la traduction d’adresse réseau (NAT, Network Address Translation). Le service SNATMAP communique simplement aux clients l’adresse Internet qui s’y est connectée. Ce service s’exécute sur un serveur Apple, mais n’envoie aucune information personnelle à Apple. Ce service est contacté lors de l’utilisation de certaines fonctionnalités d’iChat. Si vous le bloquez, vous risquez de rencontrer des problèmes au niveau des connexions iChat avec des hôtes sur des réseaux utilisant la traduction d’adresse réseau (NAT).