Używanie programu iChat z zaporą lub routerem NAT

  • Ostatnia modyfikacja: 25 maj, 2009
  • Artykuł: HT1507
  • Stary artykuł: 93208

Podsumowanie

Podczas korzystania z programu iChat z zaporą lub routerem NAT muszą być otwarte określone porty, aby można było uczestniczyć w konferencjach audio i wideo mimo włączonej zapory. W niektórych urządzeniach te porty są domyślnie otwarte; inne urządzenia mogą wymagać skonfigurowania. Uwaga: w tym artykule wymieniono wszystkie porty używane przez program iChat, a nie tylko porty używane do obsługi zawartości audio i wideo. Lista funkcji poszczególnych portów znajduje się w artykule Typowe porty TCP i UDP używane przez oprogramowanie firmy Apple.

Dotyczy produktów

iChat

Translacja adresów sieciowych (NAT)

Sprzęt niektórych dostawców usług internetowych (ISP) i domowe routery sieciowe korzystają z technologii tzw. translacji adresów sieciowych (NAT) w celu udostępniania połączenia internetowego. Technologia NAT często zakłóca połączenia wideo i audio w innych aplikacjach konferencyjnych, jednak program iChat używa nowoczesnej metody ustanawiania bezpośrednich połączeń audio i wideo nawet w sieciach używających translacji NAT. W rzeczywistości program iChat współpracuje bez problemów z wieloma routerami domowymi w ich fabrycznej konfiguracji. Listę tych routerów można znaleźć w tym artykule.

Informacje o zaporach sieciowych

Zapory sieciowe są często używane w dużych firmach i instytucjach naukowych w celu zwiększenia bezpieczeństwa. Działają jak blokady wychodzącego i przychodzącego ruchu sieciowego. System Mac OS X zawiera prywatną zaporę sieciową, którą można włączyć w preferencjach Udostępnianie w Preferencjach systemowych.

Ruch sieciowy przechodzi przez zaporę sieciową, korzystając z numerów identyfikacji usług, czyli portów. Pewne porty muszą być otwarte, aby program iChat działał. Administratorzy sieci zazwyczaj otwierają minimalną liczbę portów sieciowych, dopuszczając ruch sieciowy dla danych wysyłanych i odbieranych przez zaufane aplikacje, blokując pozostały ruch sieciowy.

Program iChat korzysta z zakresu portów do różnych celów. Podczas konferencji są używane porty od 16384 do 16403 do wysyłania, odbierania i optymalizowania strumieni audio-wideo. W przypadku pojedynczej konferencji 4 porty z tego zakresu (20 portów) są używane do wysyłania oraz odbierania danych audio i wideo. Ponadto port 5060 służy do sygnalizowania i inicjowania zaproszeń do czatu, a port 5678 jest używany przez funkcję SNATMAP, co daje łącznie 22 otwarte porty. Porty używane do innych celów, np. obsługi funkcji Bonjour i przesyłania plików, opisano w następnych dwóch sekcjach.

Wskazówka: ruch przechodzący przez porty można podzielić na kilka typów, w tym TCP i UDP. Program iChat korzysta z obu tych protokołów, z przewagą UDP. Zaawansowani użytkownicy mogą znaleźć więcej informacji na ten temat w sekcji uwag poniżej.

Porty do otwarcia w zaporze sieciowej systemu Mac OS X

Jeśli korzystasz z wbudowanej zapory sieciowej systemu Mac OS X, musisz jedynie otworzyć następujące porty: 5060, 5190, 5297, 5298, 5678, 16384–16403. Jeśli korzystasz z programu Jabber w systemie Mac OS X 10.4 lub nowszym, otwórz również porty 5220, 5222 i 5223.

Wskazówka: aby uniknąć dodatkowej konfiguracji, można tymczasowo wyłączyć zaporę sieciową na poszczególnych komputerach.

Aby korzystać z czatu z włączoną zaporą sieciową systemu Mac OS X, wykonaj poniższe czynności w celu dodania odpowiednich portów.

  1. Z menu Apple wybierz polecenie Preferencje systemowe.
  2. Z menu Widok wybierz polecenie Udostępnianie.
  3. Kliknij kartę Zapora.
  4. Kliknij opcję Nowa.
  5. Z menu podręcznego Nazwa portu wybierz opcję Inne.
  6. W systemie Mac OS X 10.3.9 lub wcześniejszym w polach Numer portu, Zakres lub Serie wpisz poniższe numery, a następnie przejdź do kroku 7:

    5060, 5190, 5297, 5298, 5678, 16384-16403

    W systemie Mac OS X 10.4 lub nowszym w polu Numery portów TCP wpisz poniższe numery (możesz pominąć numery 5220, 5222 i 5223, jeśli nie używasz programu Jabber):
    5190, 5220, 5222, 5223, 5298

    W polu Numery portów UDP wpisz poniższe numery:
    5060, 5190, 5297, 5298, 5353, 5678, 16384-16403
  7. W polu Opis wpisz: iChat
  8. Kliknij przycisk OK.

Porty do otwarcia w zaporze sieciowej innego producenta

Jeśli używasz zapory sieciowej firmy innej niż Apple, otwórz następujące porty:

5060, 5190, 5297, 5298, 5353, 5678 oraz od 16384 do 16403.

Jeśli wystąpią problemy, można spróbować otworzyć wszystkie porty od 1024 do 65535 (lub tymczasowo wyłączyć zaporę sieciową).

Konfiguracja zaawansowana

Bardziej skomplikowane routery i zapory sieciowe mogą umożliwiać określenie reguł dotyczących np. protokołu TCP/UDP, pakietów przychodzących/wychodzących lub portów źródłowych/docelowych. W tym przypadku można użyć następujących tabel. Konfiguracja A jest mniej bezpieczna niż Konfiguracja B, ale działa z większą liczbą routerów.

Konfiguracja A

Pakiety wychodzące
Wewnętrzny port źródłowy
Zewnętrzny port docelowy
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384–16403
1024–65535
Pakiety przychodzące
Zewnętrzny port źródłowy
Wewnętrzny port docelowy
1024–65535
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384–16403


Konfiguracja B

Pakiety wychodzące

Wewnętrzny port źródłowy
Zewnętrzny port docelowy
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 16384–16403
5060, 5190, 5297, 5298, 5353, 5678 16384–16403

Pakiety przychodzące

Zewnętrzny port źródłowy
Wewnętrzny port docelowy
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678 16384–16403
5060, 5190, 5297, 5298, 5353, 16384–16403

Informacje dodatkowe

Uwagi

  1. Cały ruch sieciowy programu iChat odbywa się w protokole UDP, z wyłączeniem portów 5190 i 5298, które muszą być otwarte zarówno dla ruchu TCP, jak i UDP, oraz portów 5220, 5222 i 5223, które muszą być otwarte tylko dla ruchu TCP.
  2. Porty 5297, 5298 i 5353 są używane tylko do ruchu lokalnego. Otwarcie tych portów może być konieczne w przypadku zapory sieciowej, która działa na komputerze, a nie na routerze. Porty nie muszą być otwarte w bezpośrednim połączeniu z Internetem.
  3. Zapora sieciowa systemu Mac OS X w okienku preferencji Udostępnianie filtruje jedynie pakiety TCP w systemach Mac OS X 10.3.9 lub wcześniejszych. Z tego powodu większość wymienionych tutaj portów nie musi być otwarta przy korzystaniu z zapory sieciowej systemu Mac OS X.
  4. Niektóre funkcje lub konfiguracje routerów mogą zakłócać pracę programu iChat. Dotyczy to mapowania portów po obu stronach, przepisywania SIP, porzucania SIP oraz dynamicznego otwierania portów multimediów.
  5. Informacje o problemach dotyczących zapory sieciowej i przesyłania plików można znaleźć w artykule iChat: nie można odebrać ani wysłać pliku, gdy zapora sieciowa jest włączona.
  6. Usługa SNATMAP, korzystająca z portu 5678, służy do określania zewnętrznego adresu internetowego hosta, dzięki czemu połączenia między użytkownikami programu iChat funkcjonują poprawnie w przypadku stosowania translacji adresów sieciowych (NAT). Działanie usługi SNATMAP polega na przesyłaniu do klientów informacji o adresie internetowym, z którego nastąpiło połączenie. Ta usługa działa na serwerze firmy Apple, jednak żadne informacje osobiste nie są wysyłane do firmy. Ta usługa jest stosowana w momencie użycia niektórych funkcji programu iChat. Jej zablokowanie może powodować problemy dotyczące połączeń programu iChat z hostami w sieciach, w których jest stosowana translacja NAT.