Я хочу установить сервер очереди (coturn) на серверах нашей компании. И я не уверен, какие порты должны быть разрешены для внешнего доступа. 8443 является обязательным при использовании WebRTC. 3478 является обязательным для использования учетных данных. Но есть миллионы портов, которые использует сервер TURN, нужно ли их разрешать в брандмауэре? Или каким портам следует разрешить без проблем использовать CoTURN?
Какие порты должны быть разрешены в брандмауэре для использования сервера TURN?
Ответы (1)
Я думаю, это зависит от транспортных протоколов, которые вы хотите использовать, и уровня безопасности.
С помощью Coturn coturn (git):
Порт по умолчанию для отправки (или прослушивания) запросов STUN / TURN - 3478.
Порт слушателя TURN для слушателей UDP и TCP (по умолчанию: 3478). Примечание: на самом деле сеансы TLS и DTLS также могут подключаться к обычным портам TCP и UDP - если это разрешено конфигурацией. Например, порт прослушивания по умолчанию может быть установлен на 80 или 443, чтобы обойти некоторые строгие NAT. Помните, что портам ‹1024 могут потребоваться привилегии суперпользователя для запуска процесса Turnserver.
В моем проекте я также использовал порт прослушивания tls, но, вероятно, в этом нет необходимости:
Порт по умолчанию для отправки (или прослушивания) STUN / TURN через TLS - 5349.
Порт слушателя TURN для слушателей TLS и DTLS (по умолчанию: 5349). Примечание: на самом деле, простые сеансы TCP и UDP также могут подключаться к портам TLS и DTLS - если это разрешено конфигурацией. Например, порт прослушивания tls по умолчанию может быть установлен на 443, чтобы обойти некоторые строгие NAT. Помните, что портам ‹1024 могут потребоваться привилегии суперпользователя для запуска процесса Turnserver. Для безопасных TCP-соединений в настоящее время мы поддерживаем SSL версии 3 и TLS версий 1.0, 1.1, 1.2. Для безопасных UDP-соединений мы поддерживаем DTLS версии 1.
Также, для установления наконец p2p-соединения:
Каждый клиент будет отправлять данные через UDP на другую конечную точку: если он отправляет на сервер TURN (кандидату-ретранслятор), он отправляет данные на порт между 49152-65535 (если он отправляет напрямую другой стороне, он отправляет на любой порт в диапазоне 0-65535)
--min-port Нижняя граница диапазона портов UDP для распределения конечных точек ретрансляции. В соответствии с RFC 5766 значение по умолчанию - 49152.
--max-port Верхняя граница диапазона портов UDP для распределения конечных точек ретрансляции. Согласно RFC 5766 значение по умолчанию - 65535.