Настройка firewall

Материал из wiki.sipnet.ru
Перейти к: навигация, поиск
Приглашаем принять участие в тестировании виртуальной АТС от SIPNET!

При необходимости настройки firewall (межсетевого экрана, брандмауэра) требуется обеспечить беспрепятственное прохождение трафика по тем портам, которые используются вашим программным обеспечением или оборудованием в их текущей конфигурации.

Как правило, на клиентской стороне по умолчанию используются следующие порты:

  • 5060 UDP или случайный порт >1024 TCP - для передачи сигнальной информации протокола SIP
  • Случайный порт >1024 TCP - для передачи сигнальной информации протокола XIMSS (в программах QIP Infium и Sippoint)
  • Для передачи речевой информации (RTP) разные производители используют по умолчанию различные диапазоны UDP-портов, например:


На стороне серверов SIPNET используются следующие порты:

  • 5060 UDP или TCP - для сигнальной информации протокола SIP
  • 5061 TCP - для сигнальной информации протокола SIP поверх TLS
  • 11024 TCP - для сигнальной информации протокола XIMSS
  • для приема/передачи голосового трафика (RTP) используются различные приземляющие узлы (шлюзы) и прокси-сервера (media proxy), все они расположены на неизвестных до начала звонка IP-адресах и используют произвольные диапазоны UDP-портов


Мы рекомендуем уточнять номера используемых портов по документации к вашему программному обеспечению или оборудованию. Многие SIP-телефоны позволяют динамически назначать порты для сигнализации и голоса. При необходимости настройки firewall такую «автоматику» необходимо выключить и задать порты вручную.


! Ни в каких настройках не должно быть упоминаний никаких IP-адресов, принадлежащих SIPNET.


При использовании маршрутизатора с NAT нет никакой необходимости в дополнительной фильтрации входящего трафика по портам, т.е. не стоит включать firewall в дополнение к NAT. Инициатором соединения всегда является локальное устройство - компьютер с программой SIP-телефонии или SIP-устройство (телефон или адаптер). Достаточно позволить NAT-устройству использовать его алгоритм по умолчанию - если для локального устройства разрешен исходящий трафик, то и входящий (ответный) трафик в его сторону также разрешен.