Probleme mit Firewall

  • Ich möchte gerne meiner auf Debian der Firewall den Port 34781 freigeben.

    Hierfür habe ich folgendes ausgeführt.


    iptables -A INPUT -p udp --dport 34781 -j ACCEPT

    iptables -A INPUT -p tcp --dport 34781 -j ACCEPT


    lsof -n -i4TCP:34781 | grep LISTEN

    lsof -n -i4UDP:34781 | grep LISTEN


    Nun haben die TCP Ports den Status "Listen" jedoch die UDP Ports nicht.

    An was liegt das?

  • Wenn auf dem Port bzw. der Adresse gar nicht gelauscht wird, ändert auch die Firewall nichts daran. Die Firewall greift ja an einem ganz anderen Punkt ein.


    Was gibt folgender Befehl aus: netstat -tulpen | grep -F :34781


    Beim Beispiel OpenVPN hat der UDP-Port jedenfalls auch keinen LISTEN-State:

    Code
    1. tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 0 11241 711/openvpn
    2. udp6 0 0 :::1194 :::* 0 11242 915/openvpn

    Mit Deinem Befehl würde der außerdem gar nicht aufscheinen, weil es sich um udp6 und nicht udp(4) handelt:

    Code
    1. # lsof -n -i4UDP:1194
    2. # lsof -n -i6UDP:1194
    3. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
    4. openvpn 915 root 6u IPv6 11242 0t0 UDP *:openvpn


  • Code
    1. tcp 0 0 37.120.165.20:34781 0.0.0.0:* LISTEN 0 15913 1886/turnserver
    2. tcp 0 0 37.120.165.20:34781 0.0.0.0:* LISTEN 0 15907 1886/turnserver
    3. tcp 0 0 37.120.165.20:34781 0.0.0.0:* LISTEN 0 14365 1014/turnserver
    4. tcp 0 0 37.120.165.20:34781 0.0.0.0:* LISTEN 0 13918 1014/turnserver
    5. udp 0 0 37.120.165.20:34781 0.0.0.0:* 0 15241 1886/turnserver
    6. udp 0 0 37.120.165.20:34781 0.0.0.0:* 0 15240 1886/turnserver
    7. udp 0 0 37.120.165.20:34781 0.0.0.0:* 0 13209 1014/turnserver
    8. udp 0 0 37.120.165.20:34781 0.0.0.0:* 0 13208 1014/turnserver


    Ich versuche CoTURN auf meinen Server für Webrtc zu installieren.

    Ich erhalte immer die Meldung turn:xxx.com:34781?transport=udp returned an error with code=701 und habe mir gedacht dass eventuell die Firewall einen strich durch die Rechnung macht.

  • Dann bitte einmal alle Firewall Regeln posten: iptables -n -v --list INPUT


    Du hast sie mit -A am Ende der Kette hinzugefügt. Je nachdem welche Regeln davor stehen, kommt diese vielleicht niemals zur Ausführung.


    (Ich weiß allerdings nicht, was Fehler 701 bei coturn bedeutet. Könnte genauso gut sein, dass die Verbindung eh zustande kommt und der Fehler später geworfen wird.)

  • Dann bitte einmal alle Firewall Regeln posten: iptables -n -v --list INPUT


    Du hast sie mit -A am Ende der Kette hinzugefügt. Je nachdem welche Regeln davor stehen, kommt diese vielleicht niemals zur Ausführung.


    (Ich weiß allerdings nicht, was Fehler 701 bei coturn bedeutet. Könnte genauso gut sein, dass die Verbindung eh zustande kommt und der Fehler später geworfen wird.)

    Im Logfile vom Turn Server habe ich folgendes gefunden. Die Verbindung scheint zustande zu kommen.

    Code
    1. 1: IPv4. tcp or tls connected to: 193.80.122.225:50486
    2. 2: session 000000000000000001: TLS/TCP socket disconnected: 193.80.122.225:50486
    3. 2: session 000000000000000001: closed (2nd stage), user <> realm <xxx.com> origin <>, local xxx.xxx.165.20:443, remote 193.80.122.225:50486, reason: TLS/TCP socket buffer operation error (callback)
    4. 5: IPv4. tcp or tls connected to: 193.80.122.225:50497
    5. 5: session 001000000000000001: TLS/TCP socket disconnected: 193.80.122.225:50497
    6. 5: session 001000000000000001: closed (2nd stage), user <> realm <xxx.com> origin <>, local xxx.xxx.165.20:443, remote 193.80.122.225:50497, reason: TLS/TCP socket buffer operation error (callback)
    7. 7: IPv4. tcp or tls connected to: 193.80.122.225:50501
    8. 7: session 000000000000000002: TLS/TCP socket disconnected: 193.80.122.225:50501
    9. 7: session 000000000000000002: closed (2nd stage), user <> realm <xxx.com> origin <>, local xxx.xxx.165.20:443, remote 193.80.122.225:50501, reason: TLS/TCP socket buffer operation error (callback)
  • Danke, ich habe beim Stun und Turn Server die selbe Domain benutzt. Jetzt nutze ich beim Turn Server die IP Adresse und nun funktioniert es.