Aller au contenu

Firewall self-hosting

Le live auto-heberge utilise par defaut le relay TURN SaaS mutualise Cenaclo. C’est le parcours recommande pour Coolify et pour les installations qui ne veulent pas administrer la couche reseau WebRTC.

Le profil Compose coturn est une option experte pour les operateurs qui veulent un live 100 % local. Il impose d’exposer explicitement les ports suivants sur l’hote Docker :

ProtocolePort ou plageUsage
UDP3478STUN/TURN
TCP3478Fallback TURN
UDP49152-65535Media relay WebRTC

Le service Coturn doit etre lance uniquement avec le profil dedie :

Fenêtre de terminal
docker compose --profile coturn up -d

Ce profil utilise le reseau hote Docker : Coturn bind directement les ports de l’hote, sans mapping Docker intermediaire. TURN-over-TLS/DTLS sur 5349 n’est pas active dans cette configuration ; seuls STUN/TURN UDP et le fallback TURN TCP sur 3478 sont exposes. Restreins le firewall aux ports ci-dessus et privilegie le relay SaaS si tu ne veux pas administrer ce perimetre reseau.

Sans ce profil, aucun conteneur Coturn ne doit demarrer et le live continue de passer par le relay SaaS recommande.

Coolify et Traefik ne remplacent pas l’ouverture du range UDP 49152-65535 sur le firewall de l’hote. Si ce range n’est pas routable depuis Internet, les clients WebRTC peuvent se connecter a l’application mais echouer a etablir le media relay. Dans ce cas, garder le relay SaaS mutualise est le choix operationnel recommande.

Ne place jamais le secret TURN dans Git. Le futur service Compose injecte le secret au demarrage via TURN_STATIC_AUTH_SECRET. La valeur doit etre longue, aleatoire et stockee dans le .env local ou dans le gestionnaire de secrets de l’orchestrateur.