Bruke iChat sammen med en brannmur eller NAT-ruter

  • Sist endret: 28 mai, 2009
  • Artikkel: HT1507
  • Gammel artikkel: 93208

Oppsummering

Når du bruker iChat sammen med NAT-rutere eller brannmurer, må visse porter være åpne for å tillate video- og telefonkonferanser bak brannmuren. Enkelte enheter har disse portene åpne som standard, mens andre krever konfigurering. Merknad: Denne artikkelen gir en oversikt over alle porter som brukes av iChat, ikke bare de som brukes av lyd- og videoinnhold. Du finner en oversikt over enkeltporters funksjon i artikkelen "Velkjente" TCP- og UDP-porter som brukes av Apple-programprodukter.

Berørte produkter

iChat

NAT (Network Address Translation)

Enkelte Internett-leverandører (ISP) og hjemmenettverksrutere benytter en teknologi som kalles Network Address Translation (NAT) for deling av en Internett-forbindelse. Selv om det ofte kommer i konflikt med video- og telefonforbindelser i andre telekonferanseprogrammer, bruker iChat en innovativ løsning for å etablere telefon- og videoforbindelse også i nettverk som bruker NAT. Faktisk fungerer iChat fint sammen med mange populære hjemmerutere i standardkonfigurasjon. Du finner en liste over disse ruterne i denne artikkelen.

Om brannmurer

Brannmurer, som ofte brukes ofte av bedrifter og utdanningsinstitusjoner for å øke sikkerheten, virker på den måten at de blokkerer en del Internett-trafikk inn i eller ut av et nettverk. Mac OS X inneholder også en personlig brannmur som du kan aktivere på Deling-valgpanelet i Systemvalg.

Internett-trafikk passerer gjennom en brannmur basert på tjenesteidentifikasjonsnumre som kalles porter. Visse porter må være åpne for at iChat skal fungere. Nettverksadministratorer vil normalt åpne et minimumsantall av nettverksporter, slik at trafikk tilknyttet godkjente programmer kan komme inn i og forlate nettverket, mens annen nettverkstrafikk blokkeres.

iChat bruker en rekke porter til ulike formål. I konferanser brukes portene 16384 til 16403 til å sende, motta og optimalisere AV-strømmer. I en enkeltkonferanse brukes 4 porter i dette området på 20 til å sende og motta lyd og video. I tillegg brukes port 5060 til signalering og initiering av invitasjoner til AV-chatting, og 5678 brukes til SNATMAP, slik at i alt 22 porter er åpne. Porter som brukes til andre formål, som Bonjour og filoverføring, er oppført i de to neste avsnittene.

Tips: Trafikken som passerer gjennom porter, kan deles inn i ulike typer, som for eksempel TCP og UDP. iChat brukes begge deler, men hovedsakelig UDP. Viderekomne brukere kan finne mer informasjon om dette i merknadsavsnittet nedenfor.

Porter som må åpnes i Mac OS X-brannmuren

Ved bruk av den innebygde Mac OS X-brannmuren må du bare åpne disse portene: 5060, 5190, 5297, 5298, 5678, 16384 til og med 16403. Hvis du bruker Jabber i Mac OS X 10.4 eller nyere, må du også åpne 5220, 5222 og 5223.

Tips: Hvis du ikke vil bry deg med dette, er en midlertidig løsning å slå av brannmuren på de aktuelle datamaskinene.

Når du skal chatte med Mac OS X-brannmuren aktiv, følger du denne framgangsmåten for å legge til de nødvendige portene:

  1. Apple-menyen velger du Systemvalg.
  2. Vis-menyen velger du Deling.
  3. Klikk på Brannmur-fanen.
  4. Klikk på Ny.
  5. Velg Annet på Portnavn-lokalmenyen.
  6. I Mac OS X 10.3.9 eller eldre skriver du følgende i feltet Portnummer, Område eller Rekke, og går videre til trinn 7:

    5060, 5190, 5297, 5298, 5678, 16384-16403

    I Mac OS X 10.4 eller nyere skriver du følgende i feltet TCP-portnumre (du kan utelate 5220, 5222 og 5223 hvis du ikke bruker Jabber):
    5190, 5220, 5222, 5223, 5298

    I feltet UDP-portnumre skriver du:
    5060, 5190, 5297, 5298, 5353, 5678, 16384-16403
  7. I feltet Beskrivelse skriver du: iChat
  8. Klikk på OK.

Porter som må åpnes i en tredjeparts brannmur

Hvis du bruker en tredjeparts brannmur, må du sørge for å åpne disse portene:

5060, 5190, 5297, 5298, 5353, 5678 og 16384 til og med 16403.

Hvis ikke det fungerer, kan du åpne alle porter fra 1024 til og med 65535 (eller deaktivere brannmuren midlertidig).

Avansert konfigurasjonsinformasjon

Mer avanserte rutere og brannmurer kan gi mulighet til å spesifisere kriterier som TCP/UDP, innkommende/utgående pakker og kilde-/målporter. I så fall kan du bruke disse tabellene. Konfigurasjon A er mindre sikker enn konfigurasjon B, men den fungerer sammen med et bredere utvalg av ruterkonfigurasjoner.

Konfigurasjon A

Utgående pakker
Intern kildeport
Ekstern målport
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384-16403
1024-65535
Innkommende pakker
Ekstern kildeport
Intern målport
1024-65535
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384-16403


Konfigurasjon B

Utgående pakker

Intern kildeport
Ekstern målport
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 16384-16403
5060, 5190, 5297, 5298, 5353, 5678 16384-16403

Innkommende pakker

Ekstern kildeport
Intern målport
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678 16384-16403
5060, 5190, 5297, 5298, 5353, 16384-16403

Tilleggsinformasjon

Merknader

  1. All iChat-trafikk er UDP med unntak av portene 5190 og 5298, som må være åpne for både TCP og UDP, og 5220, 5222 og 5223, som bare må være åpne for TCP.
  2. Portene 5297, 5298 og 5353 brukes bare til lokal trafikk. Åpning av disse portene kan være nødvendig for brannmurprogramvare som kjører på en datamaskin, og ikke på en ruter. Disse portene behøver ikke være åpne på linjen ut til Internett.
  3. Mac OS X-brannmuren som finnes på Deling-valgpanelet, filtrerer bare TCP-pakker i Mac OS X 10.3.9 og eldre. Derfor er det ikke nødvendig å åpne størstedelen av portene som er oppført her, i Mac OS X-brannmuren.
  4. Enkelte ruterspesifikke funksjoner og konfigurasjoner kan komme i konflikt med iChat. Det gjelder porttilordning i begge ender, SIP-omskriving, SIP-dropping og dynamisk åpning av medieporter.
  5. Når det gjelder brannmurproblemer i forbindelse med filoverføring, kan du se "iChat: Cannot Send or Receive a File When Firewall Is Active".
  6. SNATMAP-tjenesten på port 5678 brukes til å bestemme den eksterne Internett-adressen til verter slik at tilkoblinger mellom iChat-brukere kan fungere riktig bak NAT (Network Address Translation). SNATMAP-tjenesten sender ganske enkelt Internett-adressen som koblet til den, til klienter. Denne tjenesten kjører på en Apple-tjener, men sender ikke personlig informasjon til Apple. Når visse iChat-funksjoner brukes, blir denne tjenesten kontaktet. Blokkering av denne tjenesten kan føre til problemer med iChat-forbindelser til verter i nettverk som bruker NAT.