MSN Messenger, Netmeeting 與 firewall, NAT

[FYI]

小弟尋找了許多有關NAT 之後執行Netmeeting 或MSN Messenger 的資料, 簡單的說, NAT 最好是支援UPnP(例如WinXP ICS/ICF), 將Client 設為DMZ 或許有用, 否則只有部分功能可以正常執行

MSN Messenger 從防火牆內連線
http://help.microsoft.com/!data/zh_tw/data/messengerv46_msn.its51/$content$/httpgateway.htm

Windows Messenger in Windows XP: Working with Firewalls and Network Address Translation Devices
http://www.microsoft.com/windowsxp/p...fw/default.asp

以上提到許多port

UDP 5004-65535 (RTP, 影音串流)
TCP 6891-6900 (FT, 檔案傳輸)
TCP 1863 (IM, 立即訊息)
TCP 1503 (AS & WB, 應用軟體和白板的分享)
TCP 3389 (RDP, 遠端協助)
TCP 5060 (SIP)
TCP 6901 (語音通信, http://support.microsoft.com/default...b;en-us;278887)

以下說明要在Firewall/NAT 之後執行Netmeeting 的困難度
How to Establish NetMeeting Connections Through a Firewall
http://support.microsoft.com/default...b;EN-US;158623

[阿修羅]

相當感謝，我想有許多人有這方面的困擾吧！

[FYI]

這裡是NetMeeting 的大本營
http://archive.devx.com/netmeeting/default.asp

這裡有一些NetMeeting 的Plug-in
http://www.meetingbywire.com/NetMeetingAddons.htm

ILS server list
http://www.netmeeting-zone.com/bestservers.asp

這是Microsoft NetMeeting homepage
http://www.microsoft.com/windows/netmeeting/

建議大家可以下載Resource Kit, 其中就已經包含NetMeeting 英文3.01 SP2 最新版(Build 3396)
http://www.microsoft.com/windows/Net...it/default.asp

小弟目前盡量不使用MSN Messenger 或 Yahoo Messenger, 因為以上都需要MSN or Yahoo 帳號, NetMeeting 則不需要, 而且可以匿名, MSN 只有WinXP 才支援影像, NetMeeting 的缺點是, 已經很久沒有更新, MS 可供下載的是英文版Build 3396(SP2) 或中文版Build 3388(SP1), XP 內建的Conf 是3.01 最新版(Build 3400), 但不知道是否像MSN5.0 支援UPnP, 否則如果在防火牆之後, 就只有DMZ 可以接受外界呼叫, 此外, 不知道是小弟的分享器不夠快, 還是Virtual Server / Special Application / Firewall rules 太多設定, 感覺上分享器有點不夠力, 而且容易出狀況, 所以只好把設定簡化

NetMeeting 和MSN Messenger 都有類似pcAnywhere 的功能, NetMeeting 叫做(遠端)桌面共用, MSN Messenger 叫做遠端協助, NetMeeting 勝過pcAnywhere 的地方是免費, 而且還可以保持影音通訊, 等有時間再另外為文討論

[hasek]

我看了一下午..
因為是英文,所以沒什麼進展...><
我針對的方向是虛擬ip,防火牆,nat(其實我也不確定是哪一個,nat和虛擬ip好像是同一回事..@@)
造成netmeeting的連線成功卻沒聲音
(學校宿網,無法更改設定...><)
在FYI大提供的網站內是有提到
可是我抓不太到重點...@@
所以也找不到實際操作的方法

另外有找到利用軟體(Socks2HTTP+SocksCap32),
似乎有成功的可能
但是我女朋友沒耐心,我也不確定..
所以暫時改成yahoo messenger

想看看有沒有人有興趣試試看...@@
可以參考
http://home.kimo.com.tw/hasek899/software.htm 軟體使用
http://home.kimo.com.tw/hasek899/way1.html
http://home.kimo.com.tw/hasek899/socks.html
是從對岸找到的,並做了gb=>big5

如果有人有試,也請告訴我結果~
謝謝!!!

[FYI]

Yahoo Messenger 在NAT 之後, 應該也是會有問題吧, 也就是只能撥出, 不能接收

想徹底瞭解MSN or NetMeeting, 最好自己做實驗

C:\Windows>netstat.exe -a -n

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:1720 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1503 0.0.0.0:0 LISTENING
TCP 10.0.0.5:1720 10.0.0.2:1112 ESTABLISHED
TCP 10.0.0.5:49602 0.0.0.0:0 LISTENING
TCP 10.0.0.5:49603 0.0.0.0:0 LISTENING
TCP 10.0.0.5:1240 0.0.0.0:0 LISTENING
TCP 10.0.0.5:1240 10.0.0.2:1113 ESTABLISHED
TCP 10.0.0.5:1503 10.0.0.2:1115 ESTABLISHED
TCP 10.0.0.5:1503 10.0.0.2:1116 ESTABLISHED
TCP 10.0.0.5:1503 10.0.0.2:1117 ESTABLISHED
UDP 10.0.0.5:49602 *:*
UDP 10.0.0.5:49603 *:*

以上是執行NetMeeting, 由10.0.0.2 呼叫10.0.0.5, 所得到結果, 實驗得知, NetMeeting 會先嘗試連結被呼叫端的port 1720, 然後是port 1503, 語音不通的原因是有兩個dynamic port 並未建立連線, 由於MSN 使用到的port 更多, 小弟並沒有仔細研究, 不過MSN 如果所有的port 都無法建立連線, 最後會嘗試port 80, 所以說要 "只" 阻擋MSN 並不容易, 方法一是阻擋MSN Directory Server Domain, 或者將MSN 會開啟的port(包含80)都擋掉

由以上得知, NetMeeting 被呼叫端必須允許port 1720, 1503 & 兩個dynamic port 進入, 這是一般NAT 無法做到的, 所以除了DMZ 之外, 只剩下一個方法, 也就是Triggering (Special Application), 利用NetMeeting 登入Internet Locator Server (ILS)的特性, 將port 389 (NetMeeting 2.x/3.x) & 522 (NetMeeting 1.x) 當作Trigger, 然後允許遠端建立port 1024-65535 的連線, 缺點是NAT 之後仍然只能有一台NetMeeting 可以被呼叫

談到MSN, 有一些Router 特別註明支援MSN4.6 以後的版本, 市面上真正支援UPnP 仍不多, D-Link DI-704 是其中之一

[hasek]

yahoo messenger用起來沒問題~
不論是我呼叫或她呼叫~
好像是因為yahoo messenger有另外經過一個server提供資料的傳輸

netmeeting她可呼叫到我,但我呼叫她會沒反應..
如果連線建立了,我可以聽到她那邊(音訊,視訊都沒問題)
可是她聽不到也看不到我這~

似乎有把她的電腦port對應到proxy的80 port的軟體
這樣資料就傳的進去..
如果用這個方法,感覺起來就可行..@@
他們學校的計中老師有稍稍透露...
可是他說不能教,所以也儘此而已

另問
如果可架設socks5的proxy可以幫到什麼忙嗎??
加上利用SocksCap32好像可以用..
小弟其實什麼都不懂..
靠一點直覺在想~~

[janglang]

關於H.323,小弟由於工作關係,有一點小小接觸,由於它遵循H.225,H.245等協定,因此H.323傳遞IP的方式並不是單純的從封包Header判斷,而是將IP,PORT及其他相關資訊,當成資料傳遞,於是這就造成nat的一個大問題,由於一般的NAT server做的僅是將Header中的private ip和public ip做轉換,不會去管資料欄,因此即使我們將server的所有port,mapping 到跑H323 client的那一台,由於client在判斷自己IP時只知道private ip,因此封包的資料欄中的IP仍是private ip,NAT 雖將Header改了,無奈remote 端在讀到資料後,仍然會將資料往private ip送,因此怎麼樣也送不回來

如果各位若有架設linux跑netfilter做nat,應該知道要支援netmeeting要加上ip_conntrack_h323這個module,它就是用來轉換資料欄中的IP的,目前市面上的分享器,也要強調支援netmeeting才會做這個動作,而一些簡單的分享器(如zyxel 的atu-r 642R內建的nat)就做不到了

FYI兄所訴的概念,對經過防火牆但擁有PUBLIC IP的電腦而言是毫無問題的,但對擁有PRIVATE IP的電腦,以我所知,恐怕還是有問題的

我個人對FYI兄相當佩服,也從他的發言中獲得許多知識,只是這個討論與我有限的所知並不相同,還請FYI兄海涵

[FYI]

小弟並未仔細研讀NetMeeting Resource Kit, 因此並不熟悉NetMeeting 如何執行H.323(port 1720) & T.120(port 1503), 不過Resource Kit 確實有提到, 有興趣的網友不妨自行下載

前面提到透過Triggering 讓NAT 之後的任何(只有)一台NetMeeting 可以被呼叫, 確實可行, 前提是您的Router 必須支援, 此外還必須成功登入ILS Server, 以便建立port 389 的連線, 而Trigger 的設定為

Trigger port Out TCP 389, allow in, TCP 1720, 1503, 1731, UDP 1024-65535

小弟使用的SMC 7004ABR 不允許同一行內有TCP & UDP, 因此分為兩行

Trigger port Out TCP 389, allow in, TCP 1720, 1503, 1731
Trigger port Out TCP 389, allow in, UDP 1024-65535

話雖如此, 小弟由Netstat.exe -a -n 觀察, NetMeeting 似乎並未完全遵守MS KB Q158623 的說明, 此外SMC 的Firmware 似乎還有Bug, 因此只能說 "大致可行", 小弟簡單試過語音, 桌面共享, 可以正確執行, 但是如過移到您的環境, 也許會得到不同的結果

原則上, 新的軟體會依據新的技術和需求而改良, 例如要能在NAT 之後執行, 但是像NetMeeting 這樣的老古董, 恐怕只有靠Router 支援才能普遍流傳, 但是小弟主要的應用是VoIP, 現今已經有少數VoIP Gateway 號稱支援NetMeeting 的H.323, 所以我想, NetMeeting 暫時還不會消失吧, 既然如此, 就將就著用吧!

[FYI]

雖然是題外話, 小弟很早就想補充一個安全性的問題, 詳細說明還是請看

http://grc.com/su-bondage.htm

相信絕大多數的網友(撥接或寬頻), 都不會注意這個問題, 甚至早期ISP 的網頁就教導用戶要連結Client for Microsoft Networks, 才會記住撥接密碼, 要測試您的PC 是否安全, 請到以下網頁, 看看您是否有哪些開啟的ports

http://grc.com/default.htm -> Shields UP!

為了執行NetMeeting, 必須開啟很多的ports 或是設為DMZ, 對於重視安全性的人來說, 本來就是魚與熊掌, 不可兼得, 先前還不甚瞭解NetMeeting 的時候, 小弟是把PC 設為DMZ, 於是這台PC 就不受Firewall 的保護, 然而為了檔案分享, 因此LAN 走兩種通訊協定, TCP/IP 只用來連接Internet, NetBEUI 則用來連結檔案分享, 這兩個協定各有利弊, TCP/IP overhead 比較大, NetBEUI overhead 較小, 但是其廣播的做法只適合小型LAN

現在既然Trigger(Special Application) 可行, 那麼就不再需要DMZ, 於是就可以捨棄NetBEUI, 而讓TCP/IP 連結檔案分享, 但是在Firewall Rule 擋掉port 137-139(NetBIOS), 如此一來, LAN 仍然可以使用NetBIOS over TCP/IP, 但是WAN 則不行, 然而, 如果您使用MSN Messenger or Yahoo Messenger, 而您的Router 不支援, 必須置於DMZ 的時候, 請考慮小弟原先的做法, 或者安裝個人防火牆, 以免和全世界分享您的資源

以上, 僅供參考.

[FYI]

小弟用了三個月的NetMeeting, 終於也要加入MSN Messenger 的行列了, 原因無他, 曲高和寡, 雖然NetMeeting 操作簡單又功能強大, 也有遠端協助的功能, 無奈微軟已不再大力支援, ILS 伺服器也只剩下民間的, 找人也不是那麼方便(最大阻礙), DynDNS 又不是每個人都能上手, 所以只好退居第二線, 不過小弟不想進化到MSN 5, 因此找了一些4.6 的碩果僅存版本(4.6.0083), 提供參考, 要注意的是MSN Messenger 4.6.0090 以後只支援WinXP, 也成為WinXP 內建的版本(Windows Messenger 4.7), 9X/ME/2K/XP 的共通版本是MSN Messenger 5, Windows Messenger 4.7 和 MSN Messenger 5 可能有些並存上的問題, 升級時請注意

MSN & Neeting Version Watch
http://www.meetingbywire.com/VersionWatch.htm

MSN Area
http://msnarea.ezonate.co.uk/msndls.php

MSN Messenger 4.6.0082 英文版
ftp://ftp.au.ac.th/pub/webdownload/mmssetup.exe

MSN Messenger 4.6.0083 英文版
http://www.ezonate.co.uk/download.php?id=47

MSN Messenger Polygamy Patch (any version up to 4.6.0082)
http://www.ezonate.co.uk/download.php?id=85

MSN Messenger Polygamy Patch (4.6.0083 only)
http://www.ezonate.co.uk/download.php?id=86

MSN Messenger Plus! Extension
http://toget.pchome.com.tw/intro/net...ger/13687.html

NetMeeting 3.01 英文版 (Build 4.4.3396)
ftp://ftp.au.ac.th/pub/webdownload/nm30.exe
這個版本已包含在Resource Kit 裡面, 但是檔案比較小, WinXP 內建的是Build 4.4.3400

簡單說明一下:
Polygamy Patch 可以允許同時執行數個MSN Messenger (不同帳號)
MSN Messenger Plus! Extension 可以讓MSN Messenger 不顯示廣告(應該還是有接收)
此外還有Policy Editor, 突破5 人的限制, 族繁不及備載

如果您知道何處還有提供MSN Messenger 4.6.0082/4.6.0083 繁體中文版下載, 敬請踴躍提供線索