Utiliser iChat AV avec un coupe-feu ou un routeur NAT

  • Last Modified on: February 13, 2007
  • Article: 93208

Lorsque vous utilisez iChat AV avec des routeurs NAT ou des coupe-feu, certains ports doivent être ouverts pour autoriser les conférences vidéo et audio derrière un coupe-feu. Par défaut, ces ports sont ouverts sur certains périphériques, mais d’autres nécessitent une configuration.

Traduction d’adresse réseau (NAT, Network Address Translation)
Certains fournisseurs d’accès Internet (FAI) et certains routeurs de réseaux domestiques utilisent une technologie nommée traduction d’adresse réseau ou NAT pour partager une connexion Internet. Bien que cela interfère souvent avec les connexions vidéo et audio d’autres applications de conférence, iChat AV emploie une approche novatrice pour établir une connexion audio et vidéo directe même sur les réseaux où figure NAT. iChat AV fonctionne en fait sans problème avec de nombreux routeurs domestiques dans leur configuration par défaut. Vous pouvez consulter une liste de ces routeurs dans le document technique 93333, « iChat AV : routeurs réseau compatibles » (en anglais).


À propos des coupe-feu
Fréquemment utilisés par les entreprises et les établissements d’enseignement dans le but d’augmenter la sécurité, les coupe-feu fonctionnent en empêchant une partie du trafic Internet de pénétrer un réseau ou d’en sortir. Mac OS X inclut aussi un coupe-feu personnel qui se trouve dans la fenêtre des préférences de Partage.

Le trafic Internet passe à travers un coupe-feu en fonction de numéros d’identification de service nommés ports. Certains ports doivent être ouverts pour qu’iChat AV fonctionne. Les administrateurs réseau ouvrent généralement un minimum de ports réseau et n’autorisent que le trafic en provenance et à destination d’applications approuvées à quitter et à pénétrer le réseau, tout en bloquant le reste du trafic réseau.

iChat AV utilise un ensemble de ports pour des buts différents. En mode conférence, les ports 16384 à 16403 sont utilisés pour envoyer, recevoir et optimiser les flux audio-vidéo. Dans une conférence unique, 4 ports parmi ces 20 sont utilisés pour envoyer et recevoir l’audio et la vidéo. En outre, le port 5060 est utilisé pour signaler et initier des invitations à des conversations audio-vidéo et le port 5678 pour SNATMAP, soit un total de 22 ports ouverts. Les ports utilisés à d’autres fins, notamment Bonjour (anciennement « Rendezvous ») et le transfert de fichiers, sont répertoriés dans les deux sections suivantes.

Astuce : le trafic qui passe à travers les ports peut être subdivisé en différents types, notamment TCP et UDP. iChat utilise ces deux protocoles, mais principalement UDP. Les utilisateurs avancés trouveront des renseignements supplémentaires à ce sujet dans la section Remarques ci-dessous.

Ports à ouvrir pour le coupe-feu Max OS X
Si vous utilisez le coupe-feu Max OS X intégré, il vous suffit d’ouvrir les ports 5060, 5190, 5297, 5298, 5678, 16384 à 16403

Astuce : si vous souhaitez simplifier les choses, vous pouvez désactiver temporairement le coupe-feu de chaque ordinateur.

Si vous souhaitez avoir une conversation alors que le coupe-feu Mac OS X est actif, procédez comme suit pour ajouter les ports nécessaires.

    1. Dans le menu Apple, choisissez Préférences Système.
    2. Dans Internet et réseau, choisissez Partage.
    3. Cliquez sur l’onglet Coupe-feu.
    4. Cliquez sur Nouveau.
    5. Dans le menu déroulant Nom du port, choisissez Autre.
    6. Dans le champ Série, plage ou numéro de port, tapez :

    5060, 5190, 5297, 5298, 5678, 16384-16403

    7. Dans le champ Description, saisissez : iChat AV
    8. Cliquez sur OK.

Ports à ouvrir pour les coupe-feu tiers
Un coupe-feu « simple » vous permet uniquement d’ouvrir ou de fermer des ports, sans critères supplémentaires. Si vous possédez un coupe-feu de ce type, vous devez ouvrir les ports suivants :

5060, 5190, 5220, 5222, 5298, 5353, 5678, et 16384 à 16403.

Si cela ne fonctionne pas, essayez d’ouvrir tous les ports de la plage 1024 à 65535.

Les routeurs et les coupe-feu plus complexes peuvent vous permettre d’indiquer des critères tels que les protocoles TCP/UDP, les paquets entrants/sortants ou les ports source/de destination. Si vous êtes dans ce cas de figure, utilisez un des tableaux suivants. La configuration A est moins sécurisée que la configuration B mais elle fonctionne avec un plus grand nombre de configurations de routeur.

Configuration A
Paquets sortants
Port source interne
Port de destination externe
5060, 5190, 5220, 5222, 5297, 5298, 5353, 5678, 16384-16403
1024-65535
Paquets entrants
Port source externe
Port de destination interne
1024-65535
5060, 5190, 5220, 5222, 5297, 5298, 5353, 5678, 16384-16403

Configuration B
Paquets sortants
Port source interne
Port de destination externe
5060, 5190, 5220, 5222, 5297, 5298, 5353, 16384-16403
5060, 5190, 5297, 5298, 5353, 5678 16384-16403
Paquets entrants
Port source externe
Port de destination interne
5060, 5190, 5220, 5222, 5297, 5298, 5353, 5678 16384-16403
5060, 5190, 5297, 5298, 5353, 16384-16403

Remarques :
    1. Tout le trafic d’iChat AV est UDP sauf pour les ports 5190 et 5298 qui doivent être ouverts à la fois pour TCP et UDP ; les ports 5220 et 5222 doivent l’être uniquement pour UDP.

    2. Les ports 5297, 5298 et 5353 ne sont utilisés que pour le trafic local. Il peut être nécessaire de les ouvrir si le logiciel coupe-feu réside sur un ordinateur et non sur un routeur. Il n’est pas nécessaire d’ouvrir ces ports au niveau de votre lien vers Internet.

    3. Le coupe-feu de Mac OS X qui se trouve dans la fenêtre des préférences de Partage ne filtre que les paquets TCP. C’est pourquoi il n’est pas nécessaire que la plupart des ports mentionnés ici soient ouverts au niveau du coupe-feu de Mac OS X.

    4. Il se peut que certaines fonctions ou configurations spécifiques à un routeur interfèrent avec iChat AV, par exemple le mappage de port à l’une des extrémités, la réécriture SIP, l’élimination SIP ou l’ouverture dynamique de ports média.

    5. Ce document dresse la liste de tous les ports utilisés par iChat AV et non pas seulement de ceux utilisés par un contenu audiovisuel. Vous trouverez une liste des fonctions individuelles des ports dans le document technique 106439 « Ports TCP et UDP « connus » utilisés par les produits logiciels Apple ».

    6. Pour plus de renseignements sur les problèmes de coupe-feu spécifiques au transfert de fichiers, veuillez consulter le document technique 107476 « iChat : impossible d’envoyer ou de recevoir un fichier lorsque le coupe-feu est actif ».

    7. Le service SNATMAP du port 5678 sert à déterminer l’adresse Internet externe d’hôtes de façon à ce que les connexions entre des utilisateurs iChat puissent fonctionner correctement derrière la traduction d’adresse réseau (NAT, Network Address Translation). Le service SNATMAP communique simplement aux clients l’adresse Internet qui s’y est connectée. Ce service s’exécute sur un serveur Apple, mais n’envoie aucune information personnelle à Apple. Ce service est contacté lors de l’utilisation de certaines fonctionnalités d’iChat AV. Si vous le bloquez, vous risquez de rencontrer des problèmes au niveau des connexions iChat AV avec des hôtes sur des réseaux utilisant la traduction d’adresse réseau.
Keywords: kichat ktech kmosx kmosx3 kmosx4