Allowing WhatsApp and FaceTime via Firewall-Rules

In an environment with granular firewall rules for accessing the internet, WhatsApp and FaceTime ports need to be opened to work properly. Use “:” within Sophos UTM service definitions for portranges. Here are the ports:

  • WhatsApp
    • TCP 4244
    • TCP 5222
    • TCP 5223
    • TCP 5228
    • TCP 5242
    • UDP 3478
    • UDP 45395
    • TCP/UDP 50318
    • TCP/UDP 59234
  • FaceTime
    • TCP 5223
    • UDP 3478-3497
    • UDP 16393-16402

I hope that I could help some people with this!

11 thoughts on “Allowing WhatsApp and FaceTime via Firewall-Rules”

  1. Hallo

    Danke, habe nur ca. die Hälfte der Ports offen
    (das erklärt manchmal die Verzögerungen)
    leider hat Whatsapp ja auch einige verschiedene IPs.
    und bei Application Control ist Whatsapp glaube ich noch nicht dabei oder ?

    Wäre schön, wenn man diese Ports explicit nur zu whatsapp.com öffnen könnte
    Oder bei Application Control einfach Whatsapp zulassen könnte

    Gruß Ingo

  2. ah super, das muss aber recht neu sein (also einige Monate).
    so oft schaue ich da nicht rein, wenn alles funktioniert.
    werde ich gleich mal testen

    war nur letztens am überlegen auf XG zu wechseln
    mit dem neuen 100/40 vdsl hatte die utm viel zu tun
    (über 50% cpu (j1900) und nur 55mbit Durchsatz)
    aber bei IPS alles runtergestellt, nur das nötigste, und nun klappt das

    Gruß Ingo

    • Ich habe es noch nicht getestet, sollte aber nach dem Schichten Model der UTM. Die Firewall-Regeln sind auch mehr für Firewalls gedacht, die keine explizite Application Control besitzen.

  3. Hallo Michel,
    ich habe bei UTM Kunden immer wieder die Nachfrage nach Whatsapp, Skype & Co. Leider sind bei vollem Funktionsumfang der UTM, sprich App Control WebProxy mit HTTPS scanning sowie eng gestricktem Firewall-Regelwerk die Erfolgsaussichten eher immer schlecht. Anfragen beim Support bezüglich (Skype) war eine totale Katastrophe. Um auf das Thema zurück zu kommen, ich habe mit App Control im Lab ein wenig gespielt, laut der Theorie sollte, mit eingeschalteter App Control der Traffic erkannt sowie die Ports welche für die Applikation benötigt werden dynamisch geöffnet werden. In der Praxis hat es leider nie richtig funktioniert. Den “Trick” mit der App Control habe ich im übrigen auch beim Skype Problem bekommen… auch damit war es nicht möglich eine “saubere, stabile” Skype Verbindung aufzubauen.

    Für die diejenigen die es interessiert. Mein Test mit Whatsapp bestand aus einer UTM Apppliance mit Accesspoint einem Iphone 7 (aktuelle IOS Version sowie aktuelles Whatsapp) und ausgeschalteten “Mobile Daten” es bestand nur eine Internet Verbindung über das W-LAN mit eingeschalteten transparenten Proxy mit SSL scanning. Das Zertifikat wurde auf dem Iphone importiert. –> in dieser Konstellation war es noch nicht einmal möglich eine Verbindung zu den Whatsapp Servern herzustellen… traurig aber Wahr …

    Hat jemand damit schon bessere Erfahrungen gemacht ?

    Grüße Philipp

    • Hi Philipp,

      generell funktioniert die Application Control sehr gut. Skype ist ein Biest in der IT. Sobald ein PC im Netz Skype aktiv hat, fungiert er als Skype Proxy. Das heißt du hast in einem Subnetz 1 PC erlaubt Skype zu machen und dem restlichen Netz Skype verboten: Alle werden online kommen über den anderen, durch Broadcast-Suche gefunden erlaubten Skype PC. SSL Scanning würde ich im Mobile Netz generell nicht auf Voll stellen, solange du keine Mobile Control mit Zertifikatsverteilung hast und/oder Fremdgeräte im Netz (“BYOD”) hast.

  4. Hallo Michel,

    da kann ich dir nur zustimmen, um Apps zu blocken funktioniert die App Control der UTM sehr gut. Ich wollte jedoch genau das Gegengenteil, sprich die Applikationen welche bestimmte Ports bzw. dynamische Ports oder ständig wechselnde öffentliche IP-Adressen zulassen. Sehr interessant was du zu dem Skype schreibst, hast du das auch mal in der Praxis probiert ? Wenn das wirklich gehen sollte, dann hätte ich ja die Lösung für mein Skype Problem. Normalerweise verwende ich in dem Fall den Socks Proxy jedoch kann ich das bei dem Kunden leider nicht umsetzen. Im Mobile Netz / Gästenetz verwende ich kein SSL scanning. Ausschließlich im LAN wo Zertifikate per GPO verteilt werden können.

  5. Hi Philipp,

    dynamische “typische” Ports wie z.B. für Skype oder WAN-IP-Ziele wird es nie geben da alles unsichtbar in wechselnden Datastorages und Cloud-Datacenter lagert, allein Geo-location, DNS-delay sind Werte die entscheiden wo du dich mit deinem Skype hin verbindest. App Control guckt in den Protokollaufbau und sieht “ah ok, das sieht nach Skype aus”. Ja beim Skype konnten wir das so feststellen! 1 PC erlaubt, danach eine Regel wo das ganze Netz nicht darf. Die anderen haben dann Broadcast-Pakete verschickt und nach einem Skype-Proxy gefragt und der Port des einen erlaubten ist immer offen sobald du Skype startest und die sind dann alle darüber rausgegangen, ein wahres Netzwerk-Biest 😀

  6. Hallo Michel,
    ich habe die TCP-Ports wie oben freigegeben, aber Sprachnachrichten und Bilder kommen bei WhatApp nicht rein.
    Fritzbox 7360, Iphone5S
    Brauchen diese Daten noch wieder Extra-Ports?
    Bei Telegram reichen TCP443, TCP5222, TCP5223 und kein UDP. Und alle Daten können empfangen werden.
    Wo kann der Fehler liegen?
    Danke für die Aufmerksamkeit.

  7. Hi Udo,

    die Frage ist ob WhatsApp mittlerweile auf https TCP 443 (wegen Ende zu Ende Verschlüsselung) alles umgestellt hat. Teste mal damit und gib Bescheid.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.