Skeyevss FAQ:防火墙端口与安全组放行
1. 问题现象
局域网内一切正常,跨网段或上云后注册失败、点播无流、Web 无法访问;或间歇性 408、媒体卡顿。
2. 思路:先分清「管理面」与「业务面」
- 管理面:浏览器访问 Web Proxy、Backend API、静态资源等 HTTP(S) 端口;
- 信令面:设备到 VSS 的 SIP(UDP/TCP,视实现与设备而定);
- 媒体面:RTP/RTCP 等,常为 UDP 端口段,易被安全组遗漏。
只放行 SIP 而不放行媒体端口段时,典型表现是:注册成功,预览黑屏或偶现花屏。
3. 如何对齐端口清单
以《项目安装使用说明》中的 默认端口 为基准,结合实际 .env 中 SKEYEVSS_*_PORT 覆盖项核对。常见需关注:
- Web Proxy、Backend API、VSS HTTP/SSE/WS(运维与调试);
- VSS SIP 监听端口;
- 媒体服务 HTTP 及流媒体相关端口;
- 若使用 级联 SIP,额外监听端口也需放行。
云厂商安全组、本机 firewalld/ufw、前层 Nginx stream 四层代理,任一层未放行都会导致现象一致,需逐跳排查。
4. RTP 动态端口策略
许多实现使用 动态 RTP 端口范围。若文档或配置中给出范围,安全组应 按范围放行 UDP;若仅开放单一端口,设备协商出的端口可能被挡。
5. 验证手段
- 从设备网段对服务器做
telnet/nc探测 TCP 端口(SIP 若用 TCP); - 服务器侧
tcpdump host <设备IP>观察是否有入站 SIP/RTP; - 临时关闭防火墙对比(仅限测试环境),确认是否为策略问题后再收紧规则。
6. 文档与变更管理
端口变更后应同步:架构图、运维手册、客户交付清单。否则极易出现「代码已改端口、防火墙仍用旧端口」的隐性故障。
防火墙问题的核心是 「信令 + 媒体 + 管理」三类端口同时正确
