> Есть несколько способов защититься от этого:ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается.
то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)
При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов.
А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо.
> Там всё сложно потому что сама задача сложна.
потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.