如何阻止 COTURN 服務器被充當代理鏈的 SOCKs 服務器利用

Question

我們有一個 webrtc 視頻 stream，它使用我們自己托管的 COTURN 服務。 https://github.com/coturn/coturn版本 Coturn-4.5.2 'dan Eider'

stream 來自內部設備，通過 web 頁面應用程序呈現給用戶。

web頁面應用程序為用戶提供了訪問COTURN服務器的用戶名和密碼。

Stunner ( https://github.com/firefart/stunner ) 可以使用提供給用戶的所有數據（在正常操作期間）連接到 COTURN 並設置 socks 代理服務器。

./stunner socks -s xxxx:3478 -u username -p password -x

conf文件設置如下。

fingerprint
listening-ip=0.0.0.0

external-ip=x.x.x.x
listening-port=3478
min-port=10000
max-port=20000
#no-udp
no-tcp
no-tls
no-dtls
no-cli
log-file=/var/log/turnserver.log
verbose
no-multicast-peers
no-loopback-peers
denied-peer-ip=127.0.0.1
denied-peer-ip=0.0.0.0-0.255.255.255
denied-peer-ip=10.0.0.0-10.255.255.255
denied-peer-ip=100.64.0.0-100.127.255.255
denied-peer-ip=127.0.0.0-127.255.255.255
denied-peer-ip=169.254.0.0-169.254.255.255
denied-peer-ip=172.16.0.0-172.31.255.255
denied-peer-ip=192.0.0.0-192.0.0.255
denied-peer-ip=192.0.2.0-192.0.2.255
denied-peer-ip=192.88.99.0-192.88.99.255
denied-peer-ip=192.168.0.0-192.168.255.255
denied-peer-ip=198.18.0.0-198.19.255.255
denied-peer-ip=198.51.100.0-198.51.100.255
denied-peer-ip=203.0.113.0-203.0.113.255
denied-peer-ip=240.0.0.0-255.255.255.255
user=name:password
lt-cred-mech

我們看到的問題是我們可以停止 socks 服務器處理流量，但我們不能阻止人們首先設置服務器。

no-tcp停止流量，但仍然允許創建 socks，但是no-udp停止創建但也停止系統的正常運行。

即使使用動態用戶創建和身份驗證系統，我們仍然必須向用戶提供連接到 COTURN 服務器的詳細信息，他們仍然可以濫用它（我們只能看到誰在濫用它）

conf 文件中是否缺少阻止 socks 漏洞利用的設置，或者no-tcp是否足夠好，他們仍然可以制作 socks 服務器，他們只是不能使用它太多？

此外，udp 訪問仍然開放以允許 webrtc 流，這是否可以被襪子利用？

Answer 1

嘗試將服務放在某種形式的網關服務后面，並設置防火牆規則以僅允許從該網關到 coturn 服務的流量。 然后讓網關充當一種中繼，將必要的連接信息傳遞回客戶端。