我们有一个 STUN/TURN 服务器(coturn)正在运行。它将(通过 TURN)从 Internet 上的设备中继到固定 IP 范围内的设备。(目前没有其他方向的流,但将来可能会改变)
我知道 TURN REST API 规范来生成访问 TURN 服务器的临时凭证。现在我们还想以更细粒度的方式限制访问:是否可以限制 TURN 服务器,以便仅中继流向某个 IP 范围内的设备或来自该特定 IP 范围内的设备的流,而所有其他流量会下降吗?
有没有办法在 coturn 中配置它,或者是否可以在两者之间放置一个 NGINX 代理来处理这个?
来自coturn docs的专家,启动 TURN 服务器时的可选参数之一:
--denied-peer-ip=
<IPaddr[-IPaddr]>, --allowed-peer-ip=<IPaddr[-IPaddr]>- 禁止或允许特定 IP 地址或 IP 地址范围的选项。如果一个 IP 地址被指定为允许和拒绝,那么这个 IP 地址被认为是允许的。当您希望禁止某个范围的 IP 地址时,这很有用,该范围内的一些特定 IP 除外。当您不希望轮机服务器的用户能够访问轮机服务器可访问的机器时,可以使用此选项,但否则无法从互联网访问(例如,当轮机服务器位于 NAT 后面时)。允许/拒绝地址(白/黑名单)功能非常简单:
如果地址没有规则,则允许;
如果有适合地址的明确允许规则,那么它是允许的——无论如何;
如果一个地址没有明确的允许规则,并且如果有适合该地址的拒绝规则,则它被拒绝。“白色”和“黑色”对等 IP 范围可以在数据库中动态更改。