Я хочу установить сервер очереди (coturn) на серверах нашей компании. И я не уверен, какие порты должны быть разрешены для внешнего доступа. 8443 является обязательным при использовании WebRTC. 3478 является обязательным для использования учетных данных. Но есть миллионы портов, которые использует сервер TURN, нужно ли их разрешать в брандмауэре? Или каким портам следует разрешить без проблем использовать CoTURN?
Какие порты должны быть разрешены в брандмауэре для использования сервера TURN?
Ответы (1)
Я думаю, это зависит от транспортных протоколов, которые вы хотите использовать, и уровня безопасности.
С помощью Coturn coturn (git):
Порт по умолчанию для отправки (или прослушивания) запросов STUN / TURN - 3478.
Порт слушателя TURN для слушателей UDP и TCP (по умолчанию: 3478). Примечание: на самом деле сеансы TLS и DTLS также могут подключаться к обычным портам TCP и UDP - если это разрешено конфигурацией. Например, порт прослушивания по умолчанию может быть установлен на 80 или 443, чтобы обойти некоторые строгие NAT. Помните, что портам ‹1024 могут потребоваться привилегии суперпользователя для запуска процесса Turnserver.
В моем проекте я также использовал порт прослушивания tls, но, вероятно, в этом нет необходимости:
Порт по умолчанию для отправки (или прослушивания) STUN / TURN через TLS - 5349.
Порт слушателя TURN для слушателей TLS и DTLS (по умолчанию: 5349). Примечание: на самом деле, простые сеансы TCP и UDP также могут подключаться к портам TLS и DTLS - если это разрешено конфигурацией. Например, порт прослушивания tls по умолчанию может быть установлен на 443, чтобы обойти некоторые строгие NAT. Помните, что портам ‹1024 могут потребоваться привилегии суперпользователя для запуска процесса Turnserver. Для безопасных TCP-соединений в настоящее время мы поддерживаем SSL версии 3 и TLS версий 1.0, 1.1, 1.2. Для безопасных UDP-соединений мы поддерживаем DTLS версии 1.
Также, для установления наконец p2p-соединения:
Каждый клиент будет отправлять данные через UDP на другую конечную точку: если он отправляет на сервер TURN (кандидату-ретранслятор), он отправляет данные на порт между 49152-65535 (если он отправляет напрямую другой стороне, он отправляет на любой порт в диапазоне 0-65535)
--min-port Нижняя граница диапазона портов UDP для распределения конечных точек ретрансляции. В соответствии с RFC 5766 значение по умолчанию - 49152.
--max-port Верхняя граница диапазона портов UDP для распределения конечных точек ретрансляции. Согласно RFC 5766 значение по умолчанию - 65535.
person
Fotiou D.
schedule
06.12.2019
Значит, порты между 49152 и 65535 должны быть разрешены брандмауэром, я прав? И если да, то в каком направлении они должны быть открыты? (входящий - исходящий) Спасибо за ваше время.
- person oividiosCaeremos; 07.12.2019
входящий ... это порты для установления фактического соединения p2p: вы будете отправлять данные на случайный порт в диапазоне 0-65535, открытый устройством / маршрутизатором вашего партнера во время обнаружения. То же самое и с вами.
- person Fotiou D.; 08.12.2019
Могу ли я ограничить диапазон портов, которые должны быть разрешены со стороны внешнего интерфейса? , Я попытался ограничить диапазон в настройке coturn. Или это необходимость открывать все порты?
- person Shilpa; 25.01.2021
Если ретрансляция данных происходит между портами 49152-65535, означает ли это, что теоретическое максимальное количество одновременных подключений, которое может поддерживать один сервер coTURN, составляет около 16300 одновременных подключений (вычитая 49152 из 65535)?
- person user482594; 06.03.2021
@ user482594 вы нашли ответ на этот вопрос?
- person Benni; 31.05.2021
