Настройка firewall
Материал из Wiki.sipnet.ru
При необходимости настройки firewall (межсетевого экрана, брандмауэра) требуется обеспечить беспрепятственное прохождение трафика по тем портам, которые используются вашим программным обеспечением или оборудованием в их текущей конфигурации.
Как правило, на клиентской стороне по умолчанию используются следующие порты:
- 5060 UDP или случайный порт >1024 TCP - для передачи сигнальной информации протокола SIP
- Случайный порт >1024 TCP - для передачи сигнальной информации протокола XIMSS (в программах QIP Infium и Sippoint Mini)
- Для передачи речевой информации (RTP) разные производители используют по умолчанию различные диапазоны UDP-портов, например:
- 16384–16482 (Linksys PAP2)
- 16384–32766 (Cisco 79x0)
- 16380–16390 (Cisco ATA)
- 49152–65535 (SJphone)
- 49152–65534 (Nokia)
- 1024-65535 (Sippoint Mini)
- и т.д. и т.п.
На стороне серверов SIPNET используются следующие порты:
- 5060 UDP или TCP - для сигнальной информации протокола SIP
- 5061 TCP - для сигнальной информации протокола SIP поверх TLS
- 11024 TCP - для сигнальной информации протокола XIMSS
- для приема/передачи голосового трафика (RTP) используются различные приземляющие узлы (шлюзы) и прокси-сервера (media proxy), все они расположены на неизвестных до начала звонка IP-адресах и используют произвольные диапазоны UDP-портов
Мы рекомендуем уточнять номера используемых портов по документации к вашему программному обеспечению или оборудованию. Многие SIP-телефоны позволяют динамически назначать порты для сигнализации и голоса. При необходимости настройки firewall такую «автоматику» необходимо выключить и задать порты вручную.
! Ни в каких настройках не должно быть упоминаний никаких IP-адресов, принадлежащих SIPNET.
При использовании маршрутизатора с NAT нет никакой необходимости в дополнительной фильтрации входящего трафика по портам, т.е. не стоит включать firewall в дополнение к NAT. Инициатором соединения всегда является локальное устройство - компьютер с программой SIP-телефонии или SIP-устройство (телефон или адаптер). Достаточно позволить NAT-устройству использовать его алгоритм по умолчанию - если для локального устройства разрешен исходящий трафик, то и входящий (ответный) трафик в его сторону также разрешен.
