Port-Einstellungen Bez. Nat Und Firewalls - Innovaphone IP21 Administratorhandbuch

Port-Einstellungen bez. NAT und Firewalls

Ist ein Netzwerk durch eine Firewall zum Internet hin geschützt und soll eine Ver-
bindungen zu Gegenstellen über das Internet aufgebaut werden, so muss für
eine geeignete Konfiguration der Firewall gesorgt werden.
Firewalls haben meist zwei Aufgaben. Sie kontrollieren den Zugriff auf Geräte
und Netzbereiche innerhalb Ihres Netzes und sie realisieren die IP-Adressumset-
zung in Netzen, die keine eigene reguläre Netzwerkadresse besitzen (NAT). NAT
kann auch von Routern realisiert werden.
Im Zusammenhang mit Voice-over-IP erfordern beide Funktionen zu Ihrer Um-
setzung eine detaillierte Analyse des Datenstroms. Dies muss von der Firewall
bzw. Router-Firmware geleistet werden.
Sollte das verwendete Produkt kein H.323-Firewalling aufweisen, so gibt es zwei
Vorgehensweisen:
• In der Firewall den Weg für alle benötigten Daten von und zum VoIP-Gerät
freischalten.
Diese Lösung wird von Netzwerkadministratoren meist nicht gern gesehen,
ist jedoch risikolos, da das VoIP-Gerät als dediziertes Gerät keine anderen
Dienste außer Voice-over-IP abwickelt. Ein Öffnen des Weges von und zum
Gerät eröffnet daher keine Sicherheitslücken in einem Netzwerk.
Die Anzahl der freizuschaltenden Ports für H.323- oder SIP-Geräte lässt sich
eingrenzen.
Bei H.323 müssen für beide Richtungen folgende Ports freigeschaltet wer-
den:
• UDP:1718,1719 (H.225/RAS)
• TCP:1720 (H.225/Signaling)
• TCP: dynamic allocation (H.245/Control - optional)
Wird das SIP-Protokoll verwendet, sind zusätzlich abhängig vom interface
typ freizuschalten:
• UDP:5060 (SIP Phone, Registrar, Without Registration)
• UDP:any free (Gateway mode)
Alle anderen Registrierungen verwenden keine Standard-Ports.
T.38 via H.323 oder SIP verwendet zwei Ports über den Standard RTP-Ports.
innovaphone-Gateway Seite 87