Cisco Cisco Expressway

In many deployments outbound connections (from internal network to DMZ) will be permitted by the 
NAT/firewall device. If the administrator wants to restrict this further, the following tables provide the 
permissive rules required. For further information, see 

.

Ensure that any SIP or H.323 ‘fixup’ ALG or awareness functionality is disabled on the NAT firewall – if 
enabled this will adversely interfere with the Expressway functionality.

Management

Management 
computer

EXPe As 

required

>=1024

TCP

192.0.2.2 80 / 443 / 22 / 23

SNMP 
monitoring

Management 
computer

EXPe As 

required

>=1024

UDP

192.0.2.2 161

H.323 traversal calls using Assent

Q.931/H.225 
and H.245

EXPc

EXPe Any

15000 to 
19999

TCP

192.0.2.2 2776

RTP Assent

EXPc

EXPe Any

36002 to 
59999 *

UDP

192.0.2.2 36000 *

RTCP Assent

EXPc

EXPe Any

36002 to 
59999 *

UDP

192.0.2.2 36001 *

SIP traversal calls

SIP TCP/TLS

EXPc

EXPe 10.0.0.2

25000 to 
29999

TCP

192.0.2.2 Traversal zone 

ports, e.g. 7001

RTP Assent

EXPc

EXPe 10.0.0.2

36002 to 
59999 *

UDP

192.0.2.2 36000 *

RTCP Assent

EXPc

EXPe 10.0.0.2

36002 to 
59999 *

UDP

192.0.2.2 36001 *

* The default media port range is 36000 to 59999. The first 2 ports in the range are used for multiplexed traffic 
only (with Large VM deployments the first 12 ports in the range – 36000 to 36011 – are used). 

As Expressway-C to  Expressway-E communications are always initiated from the Expressway-C to the 
Expressway-E (Expressway-E sending messages by responding to Expressway-C’s messages) no ports 
need to be opened from DMZ to Internal for call handling.

However, if the  Expressway-E needs to communicate with local services, such as a Syslog server, some of 
the following NAT configurations may be required:

Cisco Expressway Basic Configuration Deployment Guide

Page 42 of 57

Appendix 3: Firewall and NAT settings