Der H.323 Standard stellt ein Fundament für Audio-, Video- und Datenkommunikation über IP-basierte Netzwerke zur Verfügung. Dies ermöglicht Benutzern an Video/Audio-Konferenzen teilzunehmen, obwohl sie verschiedene Anwendungen benutzen. Manche Protokolle wie FTP, H.323, und SIP nutzen verschiedene Ströme für Signal- und Datentransfer. Signalisierungsströmung werden verwendet, um die Konfigurationsparameter für die Einrichtung des Datenflusses, IP-Adresse und den Port zu verhandeln, die verwendet werden, um den Datenfluss zu etablieren. Diese Protokolle sind schwerer über Firewalls zu filtern, da sie das Layering verletzen, indem sie Schicht 3/ 4 Parameter in Schicht 7 des OSI-Modells einführen. Um diese Situation in IPtables aufzulösen, stellt Netfilter Connection Tracking Helpers bereit. Diese sind Module, die die Firewall beim Tracking dieser Protokolle unterstützen.
Dieser Artikel beschreibt ein Workaround, falls Audio/Video-Calls gedroppt werden oder Audio/Video nur in eine Richtung funktioniert, wenn H.323 geladen ist. Wenn der H.323 Helper mit geeigneten Firewallregeln und DNAT geladen ist, aaber Audio/Video immer noch gedroppt werden oder nur in eine Richtung funktionieren, dann ist es möglich, dass NAT auf Anwendungslevel nicht stattfindet.
Gilt für folgende Sophos Produkte und Versionen
Sophos Firewall
Was zu tun ist
Hierunter wird ein einfaches Netzwerk-Setup gezeigt, indem ein Polycom-Gerät hinter der XG Firewall liegt.
⦁ Um den Workaround zu implementieren schalten sie das H.323 Modul indem sie den folgenden Befehl in der Kommandokonsole eingeben
system system_modules h323 unload
⦁ Konfigurieren sie nun ein transparentes Subnet Gateway mithilfe von Proxy ARP
⦁ Beginnen sie einen Videoanruf von dem Polycom-Gerät hinter der Sophos XG Firewall und überprüfen sie, ob alles korrekt funktioniert.