Configurare Firewall

In mod normal, administratorii de system vor bloca prin firewall conexiunile initiate din afara retelei proprii exceptind acele conexiuni ce trebuie sa fie deschise pentru serviciile existente. 

Ca exemplu, administratorul va lasa acces pe portul 80 pentru serviciul web, iar in cazul in care serviciul web utilizeaza un alt port cum ar fi 8080 il va lasa deschis pe acesta. 

De asemenea in cazul coneziunilor SSL-encrypted web acces, portul 443 va trebui deschis. In rest de la caz la caz celelalte porturi sunt de regula inchise.

Aceste restrictii pot afecta comunicarea cu serverul Evisions deoarece acesta functioneaza in mod nativ pe portul 100 (sau alt port decis de administrator). In acest caz sunt valabile urmatoarele configurari:



Figura 1. Fara Firewall - O conexiune directa RTMP pentru un host pe care ruleaza Evisons Communication Server pe portul 100. Serverul de web ruleaza pe acelasi host pe portul 80.



Figura 2. Cu Firewall inchis pe portul 100 – In acest caz conexiunea catre Serverul Evisions va fi blocata deoarece portul 100 este inchis. Dupa cum se vede in figura de mai sus cea mai simpla solutie este deschiderea portului 100 ilustrata in figura 3.



Figura 3. Cu Firewall deschis pe portul 100 – Se poate imagina si configurarea in cascada a serverului Evisions pentru a accepta conexiuni pe un alt port decit 100 cum ar fi:

In cazul in care un alt serviciu este activ pe aceste porturi va sugeram sa nu puneti serverul Evisions sa asculte pe aceste porturi. Serverul va incerca sa asculte pe portul 100, iar in cazul in care este inchis va merge la urmatorul port.



Figura 4. Cu Firewall inchis pe portul 100 la client – In multe cazuri vom avea aceasta configuratie ceea ce inseamna ca dupa ce clientul va incerca sa se conecteze la portul 100 si nu va reusi, comunicarea se va realiza pe portul 80 conform figurii 5. 



Figura 5. O comunicare realizata pe portul 80. 

Nota: In cazul in care Serverul accepta conexiuni pe porturile 100, 443, and 80, iar firewallul lasa clientul sa se conecteze la unul dintre porturi conexiunea este posibila. Cind web serverul ruleaza pe acelasi port 80 si posibil pe portul 443 iar portul 100 este inchis la client conexiunea nu va fi posibila. In acest caz sunt posibile urmatoarele solutii.
Instalarea Serverului Evisions pe alta masina decit cea pe care functioneaza Serverul Web. Aceasta solutie este posibila deoarece Serverul Evisions va putea rula cu aplicatia client servita de un alt host. 
Configurarea masinii pe care este instalat serverul sa raspunda la doua adrese IP asociate unor hosturi diferite. Se pot utiliza doua placi de retea virtuale instalate in aceasi masina fiecare cu alta adresa de IP. Pe una va fi pus serverul web iar pe cealalta serverul Evisions.

Comunicatii Criptate

Evisions Server nu accepta SSL communication in mod nativ. Dar sunt 2 solutii sa se depaseasca aceasta deficienta:

1. Instalarea unui wrapper software cum ar fi "Stunnel" pe serverul de comunicatii care sa analizeze si sa directeze traficul criptat catre portul 443 si traficul necriptat catre portul 100.

2. Instalarea Serverului Evisions pe o a doua masina ce ruleaza in spatele masinii unde ruleaza Stunnel.



Figura 6. Stunnel ruleaza pe alta masina decit Serverul Evisions.

Probleme cu limitarile de pachete tip Shapers

In cazul in care limitarea unei conexiuni este facuta diferentiat pe porturi trebuie avut in vedere de catre administratorul retelei ca portul pe care functioneaza Serverul Evisions sa nu fie inchis din Shaper sau limitat excesiv. De regula administratorii limiteaza porturi de genul 25, 80, 110, la limita alocarii de banda iar in rest celelalte porturi le pun la minim (respectiv 1kb).