Comportamiento extraño al abrir puertos



  • Buen día a todos,

    En días pasados instale un pfsense nuevo, todo bien hasta que intente abrir puertos:

    • 222 / SSH  -> 192.168.5.254  (pFsense)
    • 5001 / RDP -> 192.168.5.11    (VM Windows)
    • 5002 / RDP -> 192.168.5.21    (VM Windows)
    • 5222 / jabber -> 192.168.5.1  (XMPP Server)

    Todos funcionan los accesos remotos, pero los de jabber no… alguna idea ?

    Si dentro de la red interna intento conectarme al servidor jabber usando su ip local  (192.168.5.1) funciona sin problemas.... si cambio a la ip publica, no conecta... lo que me hace pensar q esta bloqueando el firewall... algun consejo ?



  • Qué reglas tienes en jabber? Recuerda que tienes:

    • 5222/tcp Jabber/XMPP conexión de cliente

    • 5223/tcp Jabber/XMPP puerto por defecto para conexiones de cliente SSL

    • 5269/tcp Jabber/XMPP conexión de servidor

    En red interna es normal que te funciones sin problemas. Da algo más de información



  • Que otra información es necesaria ?

    ![Sin título.jpg](/public/imported_attachments/1/Sin título.jpg)
    ![Sin título.jpg_thumb](/public/imported_attachments/1/Sin título.jpg_thumb)



  • Qué tienes delaten del pfsense? Router, directo, puente, …... Y si es router ¿y cómo diriges a pfsense?



  • router en modo puente.

    Te recuerdo que los puertos 222 (ssh), 5001 (RDP) y 5002 (RDP) los redireccioamientos funcionan sin problemas.



  • Firewall local o acls?



  • @acriollo:

    Firewall local o acls?

    Local ? ACLS ?

    Local en el  servidor ? Negativo…

    Un esquema simple:

    |LAN|------|FW|-----|router-bridge|



  • Acabo de darme cuenta de otra cosa,

    Si me conecto desde fuera por medio del navegador web hacia el servidor que tiene el jabber instalado ej:

    http://jabber.my.company.com:5222

    Me contesta con una serie de caracteres, donde muestra la versión utilizada de ejabber y algunos datos mas.

    Si estuviera blokeando el FW el trafico, no tendría ninguna respuesta verdad ?

    El resultado que arroja, es que esta funcionando el direccionamiento y el problema es otro ajeno al FW.



  • Jabber es mensajería instantánea y puede emplear varios puertos.

    Te sugiero comuniques con un equipo interno y mediante los estdos de pfSense y/o el comando netstat verifiques los puertos empleados por tu jabber.

    Google jabber ports used

    http://www.accessgrid.org/agdp/guide/ports/1.03/x112.html



  • Cliente:

      TCP    192.168.5.192:139      0.0.0.0:0              LISTENING       4
      TCP    192.168.5.192:49156    192.168.5.129:49309    ESTABLISHED     1684
      TCP    192.168.5.192:50159    23.56.16.60:443        CLOSE_WAIT      5952
      TCP    192.168.5.192:50164    216.92.214.156:80      CLOSE_WAIT      1208
      TCP    192.168.5.192:51267    193.182.8.54:4070      ESTABLISHED     10380
      TCP    192.168.5.192:52856    74.125.28.125:5222     ESTABLISHED     9028
      TCP    192.168.5.192:53014    192.168.5.1:5222       ESTABLISHED     2984
      TCP    192.168.5.192:53144    192.168.5.73:445       ESTABLISHED     4
      TCP    192.168.5.192:54024    74.125.28.125:443      ESTABLISHED     2608
      TCP    192.168.5.192:54260    192.168.5.1:22         ESTABLISHED     9436
      TCP    192.168.5.192:54876    74.125.225.250:443     ESTABLISHED     10380
      TCP    192.168.5.192:54881    74.125.224.107:443     ESTABLISHED     10380
      TCP    192.168.5.192:54909    74.125.224.121:80      ESTABLISHED     10380
      TCP    192.168.5.192:54910    93.184.215.151:80      ESTABLISHED     10380
      TCP    192.168.5.192:54911    93.184.215.151:80      ESTABLISHED     10380
      TCP    192.168.5.192:54912    54.230.5.191:443       ESTABLISHED     10380
      TCP    192.168.5.192:54913    54.230.5.191:443       ESTABLISHED     10380
      TCP    192.168.5.192:54914    54.230.5.191:443       ESTABLISHED     10380
      TCP    192.168.5.192:54915    54.230.5.191:443       ESTABLISHED     10380
      TCP    192.168.5.192:54916    54.230.5.191:443       ESTABLISHED     10380
      TCP    192.168.5.192:54917    54.230.5.191:443       ESTABLISHED     10380
      TCP    192.168.5.192:54919    54.230.4.88:80         ESTABLISHED     10380
      TCP    192.168.5.192:54921    64.145.84.80:443       ESTABLISHED     10380
      TCP    192.168.5.192:54922    64.145.84.80:443       ESTABLISHED     10380
      TCP    192.168.5.192:54928    192.168.5.73:80        TIME_WAIT       0
      TCP    192.168.5.192:54929    194.68.30.50:443       ESTABLISHED     10380
      TCP    192.168.5.192:54930    198.57.247.220:2078    ESTABLISHED     1240
      TCP    192.168.5.192:54931    192.168.5.73:80        ESTABLISHED     9092
      TCP    192.168.5.192:57459    192.168.5.1:445        ESTABLISHED     4
      TCP    192.168.56.1:139       0.0.0.0:0              LISTENING       4
      TCP    192.168.56.1:1801      0.0.0.0:0              LISTENING       1876
      TCP    192.168.56.1:3260      0.0.0.0:0              LISTENING       2616
    

    Servidor:

    root@server:~# netstat -punta | grep beam
    tcp        0      0 0.0.0.0:39307           0.0.0.0:*               LISTEN      29084/beam
    tcp        0      0 0.0.0.0:5269            0.0.0.0:*               LISTEN      29084/beam
    tcp        0      0 0.0.0.0:5280            0.0.0.0:*               LISTEN      29084/beam
    tcp        0      0 127.0.1.1:7777          0.0.0.0:*               LISTEN      29084/beam
    tcp        0      0 0.0.0.0:5222            0.0.0.0:*               LISTEN      29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.151:62689     ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.192:53014     ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.164:1054      ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.155:49233     ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:55611       192.168.5.1:389         ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.150:49183     ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.134:50071     ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:5222        192.168.5.138:1392      ESTABLISHED 29084/beam
    tcp        0      0 127.0.0.1:59084          127.0.0.1:4369             ESTABLISHED 29084/beam
    tcp        0      0 192.168.5.1:59982       192.168.5.1:389          ESTABLISHED 29084/beam
    
    

    No veo nada raro…. Solo lo unico es que hay una direccion ip del lado del cliente 74.125.28.125 Que no pertenece a mi red, y al ponerla en la barra de direccion del navegador web me manda a Google Hangout…

    :o



  • Buf, todo parece normal. También tus NAT que indicaste anteriormente…

    Revisa la configuración de tu servidor jabber, que no tenga alguna restricción de acceso desde IPs que no pertenezcan a su subred.



  • Saludos mi estimado he trabajado servidor de aplicaciones alojando servicio como jabber y correo webmail la cual funciona perfecto con la configuracion colocada para servir clientes externos. Diria que habria que echar un ojo como indica el maestro bellera en el servidor jabber creo que alli puede estar el problema de la ausencia de conexion al exterior.



  • Hola amnarl y cual seria esa configuracion para servir clientes externos ?

    trahser , podrias correr netstat -nab en una PC que utilice jabber y que este dentro de tu LAN ?  y comparar la misma salida de un usuario que este en el exterior ?

    la opcion -b en el netstat te dara que apliacion abre que puerto , lo mismo puedes usar en el windows o linux en donde estas corriendo el jabber.

    Ahora, en los logs del pfsense , system logs - firewall te muestra si alguna conexion esta siendo bloqueada y tal vez puedas identificar en este log si este trafico bloqueado es de tu usuario externo.

    Tal vez esta aplicacion te pueda servir para saber que puertos abre el jabber en una forma grafica los puertos abiertos se ven en linea. Te recomiendo no abrir otra aplicacion que use el internet para qe puedas verlo con mayor claridad.

    http://technet.microsoft.com/es-mx/sysinternals/bb897437.aspx

    Segun wikipedia estos son los puertos a usar :
    5222 TCP    XMPP client connection (RFC 3920)        Official 
    5223 TCP    XMPP client connection over SSL          Unofficial
    5269 TCP    XMPP server connection (RFC 3920)        Official
    5298 TCP UDP XMPP JEP-0174: Link-Local Messaging /    Official
                XEP-0174: Serverless Messaging
    8010 TCP    XMPP File transfers                      Unofficial

    Pregunta tonta .. la prueba de conectarse via la ip publica la estas haciendo desde fuera de tu red ? o desde dentro usando la ip publica ?

    si es desde adentro habría que preguntar que tan bien funciona el NAT Reflection en PFSense y que hay que habilitar para que funcione correctamente.

    Saludos y suerte.



  • Les cuento el servicio desde internet funcionaria con la ip publica apuntando hacia el puerto especifico configurado en tu servidor jabber obviamente habria que hacer un nat hacia la ip interna del servicod jabber si esta dentro de una lan yo personalmente como lo he indicado anteriormente para establecer mas seguridad siempre coloco todos los servicios dentro de una dmz aparte de las lan para clientes un poco mas complicado a la hora de establacer reglas efectiva de comunicacion con los servicios pero ofreciendo mas seguridad y evitar acceso de intrusos a los mismos. De hecho suelto una perla la forma de evitar el clonaje de mac en redes de produccion es justamente esto de usar diferentes subredes. Estamos a su orden



  • @trasher alguna novedad con este tema?



  • Cuando hablo servir clientes externos es obviamente conectando desde la ip publica la cual debe tener el nat realizado hacia la ip privada del servidor en dmz, lan, etc. Y claro esta hacia los puertos especificos que usa el servicio jabber para conectar los clientes (5222 y 5223). Vendria bien si el amigo trasher puede indicar si solvento la situacion

    Saludos



  • Que tal a todos, los tengo en vilo.  :P

    No he tenido tiempo para solucionar este problema,

    Espero el día de hoy tener un espacio y reconfigurar el sevidor jabber ( que me da, que va por ahi el problema).

    Hice un scaneo de puertos desde mi casa a la oficina y entre la lista de puertos abiertos están los de jabber, por lo tanto deduzco problema de configuración del servidor jabber.


Log in to reply