Использование программы iChat с брандмауэром или маршрутизатором NAT

  • Дата изменения: 25 Май, 2009
  • Статья: HT1507
  • Старая статья: 93208

Обзор

Для того чтобы получить возможность проведения аудио- и видеоконференций с помощью программы iChat, в брандмауэре и на маршрутизаторе NAT необходимо открыть определенные порты. На некоторых устройствах такие порты уже открыты по умолчанию, а на других необходимо изменить соответствующие настройки. Примечание. В данной статье приведен список всех портов, используемых программой iChat, а не только тех, которые используются для передачи аудио- и видеоданных. Список функций каждого порта можно найти в статье Распространенные TCP- и UDP-порты, используемые программными продуктами Apple.

Продукты, у которых возникает эта проблема

iChat

Трансляция сетевых адресов (NAT)

Некоторые поставщики услуг Интернета (ISP) и маршрутизаторы для домашних сетей для предоставления общего доступа к Интернету используют технологию трансляции сетевых адресов (NAT). Так как это зачастую становится причиной проблем, связанных с передачей аудио- и видеоданных другими приложениями для проведения конференций, в программе iChat используется совершенно новый подход к созданию прямого подключения для передачи аудио- и видеоданных даже в тех сетях, в которых используется технология NAT. По сути, приложение iChat превосходно поддерживает работу с большим количеством домашних маршрутизаторов и не требует внесения изменений в заводские настройки. Список таких маршрутизаторов можно посмотреть в этой статье.

О брандмауэрах

Во многих организациях и учебных заведениях для усиления безопасности используются брандмауэры. Они позволяют блокировать определенный входящий или исходящий интернет-трафик. ОС Mac OS X также имеет в своем составе персональный брандмауэр, который можно включить в разделе системных настроек «Общий доступ».

Для прохождения интернет-трафика через брандмауэр используются служебные идентификационные номера, которые называются портами. Для работы программы iChat необходимо открыть определенные порты. Обычно количество портов, которые открывают сетевые администраторы, ограничено, что позволяет разрешать передачу и отправку трафика для доверенных приложений и блокировать остальной сетевой трафик.

Программа iChat использует определенный диапазон портов. Для отправки, получения и оптимизации потоков аудио- и видеоданных во время конференции используются порты в диапазоне от 16384 до 16403. При проведении одной конференции для отправки и получения аудио- и видеоданных из 20 портов этого диапазона используются только четыре. Также дополнительно используется порт 5060, который предназначен для передачи сигналов другим пользователям о начале чата и для отправки приглашений к участию в аудио- или видеоконференции. Порт 5678 используется службой SNATMAP. Всего для работы программы необходимо открыть 22 порта. Список портов, которые используются для других целей, например программой Bonjour и для передачи файлов, будет приведен в следующих двух разделах.

Совет. Трафик, проходящий через порты, можно разбить на различные типы, включая TCP и UDP. Программа iChat использует оба типа трафика, но по большей части используется UDP. Дополнительную информацию для опытных пользователей можно найти в разделе «Примечания» ниже в этом документе.

Порты, которые необходимо открыть в брандмауэре Mac OS X

Если используется встроенный брандмауэр Mac OS X, необходимо открыть только следующие порты: 5060, 5190, 5297, 5298, 5678 и с 16384 по 16403. Если используется программа Jabber, в ОС Mac OS X 10.4 или более поздней версии необходимо также открыть порты 5220, 5222 и 5223.

Совет. Если эта процедура кажется сложной, в качестве решения можно просто временно отключить брандмауэр на каждом компьютере.

Для того чтобы начать чат с включенным брандмауэром Mac OS X, выполните указанные ниже действия по добавлению необходимых портов.

  1. В меню Apple выберите пункт «Системные настройки».
  2. В меню «Вид» выберите пункт «Общий доступ».
  3. Откройте вкладку «Брандмауэр».
  4. Нажмите кнопку «Создать».
  5. Во всплывающем меню «Имя порта» выберите элемент «Другое».
  6. В ОС Mac OS X 10.3.9 или более ранней версии в поле номера порта, диапазона или серии портов введите приведенные ниже цифры и переходите к действию 7.

    5060, 5190, 5297, 5298, 5678, 16384-16403

    В ОС Mac OS X 10.4 или более поздней версии в поле «Номера TCP-портов» введите указанный ниже текст (если программа Jabber не используется, порты 5220, 5222 и 5223 можно не указывать).
    5190, 5220, 5222, 5223, 5298

    В поле «Номера UDP-портов» введите указанный ниже текст.
    5060, 5190, 5297, 5298, 5353, 5678, 16384-16403
  7. В поле для описания введите iChat
  8. Нажмите «ОК».

Порты, которые необходимо открыть в брандмауэре стороннего производителя

Если используется брандмауэр стороннего производителя, необходимо открыть следующие порты:

5060, 5190, 5297, 5298, 5353, 5678 и с 16384 по 16403.

Если это не помогло, можно открыть все порты в диапазоне от 1024 до 65535 (или временно отключить брандмауэр).

Дополнительная информация о конфигурации

Если используются более сложные маршрутизаторы или брандмауэры, можно указать определенный критерий, например TCP или UDP, исходящие или входящие пакеты либо порты источника и назначения. В этом случае можно воспользоваться приведенными ниже таблицами. Конфигурация А является менее безопасной, чем конфигурация Б. Однако ее можно использовать для настройки большого числа маршрутизаторов.

Конфигурация A

Исходящие пакеты
Внутренний порт источника
Внешний порт назначения
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384-16403
1024-65535
Входящие пакеты
Внешний порт источника
Внутренний порт назначения
1024-65535
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678, 16384-16403


Конфигурация Б

Исходящие пакеты

Внутренний порт источника
Внешний порт назначения
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 16384-16403
5060, 5190, 5297, 5298, 5353, 5678 16384-16403

Входящие пакеты

Внешний порт источника
Внутренний порт назначения
5060, 5190, 5220, 5222, 5223, 5297, 5298, 5353, 5678 16384-16403
5060, 5190, 5297, 5298, 5353, 16384-16403

Дополнительная информация

Примечания

  1. Весь трафик программы iChat относится к типу UDP, кроме портов 5190 и 5298, для которых необходимо открыть как TCP, так и UDP, а также за исключением портов 5220, 5222 и 5223, для которых необходимо открыть только TCP.
  2. Порты 5297, 5298 и 5353 используются только для передачи локального трафика. Открытие этих портов может потребоваться для брандмауэра, установленного на компьютере, но не на маршрутизаторе. Также нет необходимости открывать эти порты для исходящего подключения к Интернету.
  3. В ОС Mac OS X 10.3.9 или более ранней версии брандмауэр Mac OS X, который можно включить на панели настроек «Общий доступ», способен фильтровать только TCP-пакеты. По этой причине в брандмауэре Mac OS X нет необходимости открывать большую часть портов, перечисленных в этом документе.
  4. Работе программы iChat могут помешать некоторые функции или настройки самого маршрутизатора. К ним можно отнести переадресацию портов на обоих концах, перезапись SIP, отбрасывание SIP или динамическое открытие медиапортов.
  5. Сведения о проблемах брандмауэра, связанных с передачей файлов, см. в статье iChat. Не удается отправить или принять файл при включенном брандмауэре.
  6. Служба SNATMAP, использующая порт 5678, предназначена для определения внешних интернет-адресов хостов с целью установления работоспособных соединений между пользователями iChat за пределами NAT. Служба SNATMAP просто передает клиентам интернет-адрес, который к ней подключен. Служба выполняется на сервере Apple, но не передает в компанию Apple какой-либо личной информации. Служба задействуется в том случае, если используются определенные функции iChat Блокирование этой службы может привести к возникновению проблем с подключением программы iChat к хостам сетей, использующих NAT.