Список портов для проброса на роутере
Дата: 2026-01-09
Сервер: Denkart (192.168.1.112)
Внешний IP: 89.179.242.240
Важно
- Обход NAT (NAT bypass): Рекомендуется ОТКЛЮЧИТЬ для работы с TURN/STUN сервером
- Динамическое перенаправление портов: Включено для автоматической работы с WebRTC
- Все порты пробрасываются на хост-сервер (192.168.1.112), который затем маршрутизирует трафик в LXD контейнеры
Порты хост-сервера (192.168.1.112)
Обязательные порты
| Порт | Протокол | Назначение | Целевой IP | Комментарий |
|---|---|---|---|---|
| 22 | TCP | SSH | 192.168.1.112 | Удаленное управление сервером |
| 80 | TCP | HTTP | 192.168.1.112 | HTTP трафик (редирект на HTTPS) |
| 443 | TCP | HTTPS | 192.168.1.112 | HTTPS трафик для BigBlueButton |
Опциональные порты
| Порт | Протокол | Назначение | Целевой IP | Комментарий |
|---|---|---|---|---|
| 8080 | TCP | Документация | 192.168.1.112 | Веб-интерфейс документации (внутренний) |
| 8443 | TCP | HTTPS (альтернатива) | 192.168.1.112 | Для тестирования и демонстрации провайдеру, если блокируют 80/443; на хосте DNAT → nginx-reverse-proxy:443 |
Порты сервера 1С:Предприятие
| Порт | Протокол | Назначение | Целевой IP | Комментарий |
|---|---|---|---|---|
| 1541 | TCP | 1C Cluster Manager | 192.168.1.112 | Менеджер кластера (подключение клиентов) |
| 1545 | TCP | 1C RAS | 192.168.1.112 | Remote Administration Server (удаленное администрирование) |
Важно:
- Порты 1545 и 1541 пробрасываются на хост (192.168.1.112), который перенаправляет в контейнер 1c-server (10.218.14.10) через LXD proxy устройства
- Эти порты необходимы для внешнего доступа к серверу 1С из интернета
- Для безопасности рекомендуется ограничить доступ по IP адресам (если возможно)
Внутренние порты (не требуют проброса)
Эти порты слушают только на 127.0.0.1 (localhost) и используются только внутри контейнера. Не должны быть доступны из интернета:
| Порт(ы) | Протокол | Процесс | Назначение | Комментарий |
|---|---|---|---|---|
| 3008, 3010, 3014, 3016, 3022, 3024, 3026 | TCP | node | Внутренние сервисы BBB | Порты для внутренней коммуникации между компонентами (HTML5, bbb-webrtc-sfu) |
| 5050 | TCP | docker-proxy | Внутренний сервис | Docker контейнер (внутренний доступ) |
| 5432 | TCP | PostgreSQL | База данных | PostgreSQL (внутренний доступ) |
| 6379 | TCP | Redis | Кэш | Redis (внутренний доступ) |
| 6759 | TCP | node | Внутренний сервис | Внутренний сервис BigBlueButton |
| 8021 | TCP | FreeSWITCH | ESL | Event Socket Layer для связи с bbb-webrtc-sfu (внутренний) |
| 8085 | TCP | hasura-graphql | GraphQL API | Hasura GraphQL API (внутренний доступ) |
| 8093 | TCP | node | Внутренний HTTP сервис | Внутренний HTTP сервис BigBlueButton |
Важно: Все эти порты слушают только на 127.0.0.1, поэтому они недоступны извне контейнера и не требуют проброса на роутере.
Порты BigBlueButton (BBB-CONT22-1: 10.218.14.37)
TURN/STUN сервер (coturn)
| Порт | Протокол | Назначение | Комментарий |
|---|---|---|---|
| 3478 | UDP | TURN/STUN | Основной порт для TURN/STUN сервера |
| 3478 | TCP | TURN/STUN | Резервный TCP транспорт для TURN |
Важно: Порт 3478 пробрасывается на хост (192.168.1.112), который перенаправляет в контейнер (10.218.14.37)
WebRTC/RTP трафик
| Диапазон портов | Протокол | Назначение | Комментарий |
|---|---|---|---|
| 16384-32768 | UDP | WebRTC/RTP | Основной диапазон для WebRTC медиа трафика |
| 24577-32768 | UDP | mediasoup WebRTC | Диапазон для mediasoup WebRTC workers |
Важно:
- Это основной диапазон для передачи аудио и видео
- Используется для динамического перенаправления портов (UPnP/IGD)
- Должен быть открыт для входящих UDP соединений
TURN Relay порты
| Диапазон портов | Протокол | Назначение | Комментарий |
|---|---|---|---|
| 32769-65535 | UDP | TURN Relay | Порты для ретрансляции TURN трафика |
Важно:
- Настроено в /etc/turnserver.conf (min-port=32769, max-port=65535)
- Используется для обхода NAT через TURN сервер
- Необходимо для работы при строгих NAT или файрволах
FreeSWITCH SIP
| Порт | Протокол | Назначение | Комментарий |
|---|---|---|---|
| 5060 | UDP | SIP | Стандартный SIP порт (внутренний) |
| 5066 | TCP | SIP | SIP через TCP (внутренний) |
Важно: Эти порты обычно используются только внутри контейнера, но могут потребоваться для внешних SIP клиентов
FreeSWITCH ESL (Event Socket Layer)
| Порт | Протокол | Назначение | Комментарий |
|---|---|---|---|
| 8021 | TCP | ESL | FreeSWITCH Event Socket Layer (внутренний) |
Важно: Используется для связи bbb-webrtc-sfu с FreeSWITCH. Не должен быть доступен извне.
RTMP (опционально)
| Порт | Протокол | Назначение | Комментарий |
|---|---|---|---|
| 1935 | TCP | RTMP | RTMP стриминг (если используется) |
Настройка на роутере
Рекомендуемая конфигурация
- Отключить "Обход NAT" (NAT bypass)
- TURN/STUN сервер должен обрабатывать NAT traversal
-
Обход NAT может конфликтовать с TURN сервером
-
Включить динамическое перенаправление портов (UPnP/IGD)
- Название на роутере: "video"
- Триггер порт: 16384-32768 UDP
- Открыть порт: 16384-32768 UDP
-
Интерфейс: WAN (IPoE_DHCP)
-
Статический проброс портов
```
Порты → 192.168.1.112 → LXD контейнеры
22/tcp → SSH (хост)
80/tcp → HTTP (хост)
443/tcp → HTTPS (хост)
1545/tcp → 1C RAS → 1c-server (10.218.14.10)
1541/tcp → 1C Agent → 1c-server (10.218.14.10)
3478/udp → TURN/STUN (UDP) → BBB-CONT22-1 (10.218.14.37)
3478/tcp → TURN/STUN (TCP) → BBB-CONT22-1 (10.218.14.37)
16384-32768/udp → WebRTC/RTP (динамическое перенаправление) → BBB-CONT22-1
32769-65535/udp → TURN Relay (опционально) → BBB-CONT22-1
```
Пример настройки для типичного роутера
Статические пробросы:
- :22 → 192.168.1.112:22 (TCP) - SSH
- :80 → 192.168.1.112:80 (TCP) - HTTP
- :443 → 192.168.1.112:443 (TCP) - HTTPS
- :1545 → 192.168.1.112:1545 (TCP) - 1C RAS
- :1541 → 192.168.1.112:1541 (TCP) - 1C Agent
- :3478 → 192.168.1.112:3478 (UDP/TCP) - TURN/STUN
Динамическое перенаправление:
- Имя: video
- Триггер порт: 16384-32768 UDP
- Открыть порт: 16384-32768 UDP
- Протокол: UDP
TURN Relay (если динамическое не работает):
- :32769-65535 → 192.168.1.112:32769-65535 (UDP)
Проверка проброса портов
Проверка на хосте
# Проверка SSH
nc -zv 192.168.1.112 22
# Проверка HTTP/HTTPS
curl -I http://89.179.242.240
curl -I https://89.179.242.240
# Проверка TURN сервера
turnutils_stunclient 89.179.242.240:3478
# Проверка 1C сервера
nc -zv 192.168.1.112 1545
nc -zv 192.168.1.112 1541
nc -zv 89.179.242.240 1545
nc -zv 89.179.242.240 1541
Проверка из контейнера
# Проверка портов внутри контейнера
lxc exec BBB-CONT22-1 -- ss -tulpn | grep -E "80|443|3478|16384"
# Проверка TURN сервера
lxc exec BBB-CONT22-1 -- ss -tulpn | grep 3478
# Проверка FreeSWITCH
lxc exec BBB-CONT22-1 -- ss -tulpn | grep -E "5060|5066|8021"
Проверка из интернета
# Проверка доступности портов извне
# Используйте онлайн сервисы или другой сервер:
nmap -p 22,80,443,3478 89.179.242.240
Резюме: Минимальный набор портов
Для базовой работы BigBlueButton необходимо пробросить:
Обязательные порты:
- 22/tcp - SSH (управление)
- 80/tcp - HTTP (редирект на HTTPS)
- 443/tcp - HTTPS (веб-интерфейс)
- 1545/tcp - 1C RAS (удаленное администрирование)
- 1541/tcp - 1C Agent (подключение клиентов)
- 3478/udp - TURN/STUN (UDP)
- 3478/tcp - TURN/STUN (TCP)
- 16384-32768/udp - WebRTC/RTP (динамическое перенаправление)
Опциональные порты:
- 32769-65535/udp - TURN Relay (если динамическое перенаправление не работает)
Примечания
- Динамическое перенаправление портов обычно достаточно для WebRTC трафика, если на роутере включен UPnP/IGD
- TURN Relay порты (32769-65535) могут не потребоваться, если динамическое перенаправление работает правильно
- Внутренние порты FreeSWITCH (5060, 5066, 8021) обычно не требуют проброса, если используются только внутри контейнера
- Все порты пробрасываются на хост (192.168.1.112), который затем маршрутизирует трафик в соответствующие контейнеры через LXD сеть
Связанная документация
/home/cdto/DENKART/docs/operations/bbb-ice-1010-complete-fix.md- Полное исправление ICE 1010/home/cdto/DENKART/docs/operations/bbb-turn-relay-ip-fix.md- Конфигурация TURN сервера/home/cdto/DENKART/docs/setup/services-config.md- Конфигурация сервисов