Comportamiento extraño al abrir puertos
-
Firewall local o acls?
-
Firewall local o acls?
Local ? ACLS ?
Local en el servidor ? Negativo…
Un esquema simple:
|LAN|------|FW|-----|router-bridge|
-
Acabo de darme cuenta de otra cosa,
Si me conecto desde fuera por medio del navegador web hacia el servidor que tiene el jabber instalado ej:
http://jabber.my.company.com:5222
Me contesta con una serie de caracteres, donde muestra la versión utilizada de ejabber y algunos datos mas.
Si estuviera blokeando el FW el trafico, no tendría ninguna respuesta verdad ?
El resultado que arroja, es que esta funcionando el direccionamiento y el problema es otro ajeno al FW.
-
Jabber es mensajería instantánea y puede emplear varios puertos.
Te sugiero comuniques con un equipo interno y mediante los estdos de pfSense y/o el comando netstat verifiques los puertos empleados por tu jabber.
Google jabber ports used
http://www.accessgrid.org/agdp/guide/ports/1.03/x112.html
-
Cliente:
TCP 192.168.5.192:139 0.0.0.0:0 LISTENING 4 TCP 192.168.5.192:49156 192.168.5.129:49309 ESTABLISHED 1684 TCP 192.168.5.192:50159 23.56.16.60:443 CLOSE_WAIT 5952 TCP 192.168.5.192:50164 216.92.214.156:80 CLOSE_WAIT 1208 TCP 192.168.5.192:51267 193.182.8.54:4070 ESTABLISHED 10380 TCP 192.168.5.192:52856 74.125.28.125:5222 ESTABLISHED 9028 TCP 192.168.5.192:53014 192.168.5.1:5222 ESTABLISHED 2984 TCP 192.168.5.192:53144 192.168.5.73:445 ESTABLISHED 4 TCP 192.168.5.192:54024 74.125.28.125:443 ESTABLISHED 2608 TCP 192.168.5.192:54260 192.168.5.1:22 ESTABLISHED 9436 TCP 192.168.5.192:54876 74.125.225.250:443 ESTABLISHED 10380 TCP 192.168.5.192:54881 74.125.224.107:443 ESTABLISHED 10380 TCP 192.168.5.192:54909 74.125.224.121:80 ESTABLISHED 10380 TCP 192.168.5.192:54910 93.184.215.151:80 ESTABLISHED 10380 TCP 192.168.5.192:54911 93.184.215.151:80 ESTABLISHED 10380 TCP 192.168.5.192:54912 54.230.5.191:443 ESTABLISHED 10380 TCP 192.168.5.192:54913 54.230.5.191:443 ESTABLISHED 10380 TCP 192.168.5.192:54914 54.230.5.191:443 ESTABLISHED 10380 TCP 192.168.5.192:54915 54.230.5.191:443 ESTABLISHED 10380 TCP 192.168.5.192:54916 54.230.5.191:443 ESTABLISHED 10380 TCP 192.168.5.192:54917 54.230.5.191:443 ESTABLISHED 10380 TCP 192.168.5.192:54919 54.230.4.88:80 ESTABLISHED 10380 TCP 192.168.5.192:54921 64.145.84.80:443 ESTABLISHED 10380 TCP 192.168.5.192:54922 64.145.84.80:443 ESTABLISHED 10380 TCP 192.168.5.192:54928 192.168.5.73:80 TIME_WAIT 0 TCP 192.168.5.192:54929 194.68.30.50:443 ESTABLISHED 10380 TCP 192.168.5.192:54930 198.57.247.220:2078 ESTABLISHED 1240 TCP 192.168.5.192:54931 192.168.5.73:80 ESTABLISHED 9092 TCP 192.168.5.192:57459 192.168.5.1:445 ESTABLISHED 4 TCP 192.168.56.1:139 0.0.0.0:0 LISTENING 4 TCP 192.168.56.1:1801 0.0.0.0:0 LISTENING 1876 TCP 192.168.56.1:3260 0.0.0.0:0 LISTENING 2616Servidor:
root@server:~# netstat -punta | grep beam tcp 0 0 0.0.0.0:39307 0.0.0.0:* LISTEN 29084/beam tcp 0 0 0.0.0.0:5269 0.0.0.0:* LISTEN 29084/beam tcp 0 0 0.0.0.0:5280 0.0.0.0:* LISTEN 29084/beam tcp 0 0 127.0.1.1:7777 0.0.0.0:* LISTEN 29084/beam tcp 0 0 0.0.0.0:5222 0.0.0.0:* LISTEN 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.151:62689 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.192:53014 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.164:1054 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.155:49233 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:55611 192.168.5.1:389 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.150:49183 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.134:50071 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:5222 192.168.5.138:1392 ESTABLISHED 29084/beam tcp 0 0 127.0.0.1:59084 127.0.0.1:4369 ESTABLISHED 29084/beam tcp 0 0 192.168.5.1:59982 192.168.5.1:389 ESTABLISHED 29084/beamNo veo nada raro…. Solo lo unico es que hay una direccion ip del lado del cliente 74.125.28.125 Que no pertenece a mi red, y al ponerla en la barra de direccion del navegador web me manda a Google Hangout…
:o
-
Buf, todo parece normal. También tus NAT que indicaste anteriormente…
Revisa la configuración de tu servidor jabber, que no tenga alguna restricción de acceso desde IPs que no pertenezcan a su subred.
-
Saludos mi estimado he trabajado servidor de aplicaciones alojando servicio como jabber y correo webmail la cual funciona perfecto con la configuracion colocada para servir clientes externos. Diria que habria que echar un ojo como indica el maestro bellera en el servidor jabber creo que alli puede estar el problema de la ausencia de conexion al exterior.
-
Hola amnarl y cual seria esa configuracion para servir clientes externos ?
trahser , podrias correr netstat -nab en una PC que utilice jabber y que este dentro de tu LAN ? y comparar la misma salida de un usuario que este en el exterior ?
la opcion -b en el netstat te dara que apliacion abre que puerto , lo mismo puedes usar en el windows o linux en donde estas corriendo el jabber.
Ahora, en los logs del pfsense , system logs - firewall te muestra si alguna conexion esta siendo bloqueada y tal vez puedas identificar en este log si este trafico bloqueado es de tu usuario externo.
Tal vez esta aplicacion te pueda servir para saber que puertos abre el jabber en una forma grafica los puertos abiertos se ven en linea. Te recomiendo no abrir otra aplicacion que use el internet para qe puedas verlo con mayor claridad.
http://technet.microsoft.com/es-mx/sysinternals/bb897437.aspx
Segun wikipedia estos son los puertos a usar :
5222 TCP XMPP client connection (RFC 3920) Official
5223 TCP XMPP client connection over SSL Unofficial
5269 TCP XMPP server connection (RFC 3920) Official
5298 TCP UDP XMPP JEP-0174: Link-Local Messaging / Official
XEP-0174: Serverless Messaging
8010 TCP XMPP File transfers UnofficialPregunta tonta .. la prueba de conectarse via la ip publica la estas haciendo desde fuera de tu red ? o desde dentro usando la ip publica ?
si es desde adentro habría que preguntar que tan bien funciona el NAT Reflection en PFSense y que hay que habilitar para que funcione correctamente.
Saludos y suerte.
-
Les cuento el servicio desde internet funcionaria con la ip publica apuntando hacia el puerto especifico configurado en tu servidor jabber obviamente habria que hacer un nat hacia la ip interna del servicod jabber si esta dentro de una lan yo personalmente como lo he indicado anteriormente para establecer mas seguridad siempre coloco todos los servicios dentro de una dmz aparte de las lan para clientes un poco mas complicado a la hora de establacer reglas efectiva de comunicacion con los servicios pero ofreciendo mas seguridad y evitar acceso de intrusos a los mismos. De hecho suelto una perla la forma de evitar el clonaje de mac en redes de produccion es justamente esto de usar diferentes subredes. Estamos a su orden
-
@trasher alguna novedad con este tema?
-
Cuando hablo servir clientes externos es obviamente conectando desde la ip publica la cual debe tener el nat realizado hacia la ip privada del servidor en dmz, lan, etc. Y claro esta hacia los puertos especificos que usa el servicio jabber para conectar los clientes (5222 y 5223). Vendria bien si el amigo trasher puede indicar si solvento la situacion
Saludos
-
Que tal a todos, los tengo en vilo. :P
No he tenido tiempo para solucionar este problema,
Espero el día de hoy tener un espacio y reconfigurar el sevidor jabber ( que me da, que va por ahi el problema).
Hice un scaneo de puertos desde mi casa a la oficina y entre la lista de puertos abiertos están los de jabber, por lo tanto deduzco problema de configuración del servidor jabber.
