Conexão ao Spark.

pes
(usa Debian)

Enviado em 18/10/2011 - 10:13h

Bom dia pessoal.
Seguinte, estou com um problema que não sei mais como resolver.

Tenho openfire rodando em meu servidor normalmente. Funciona tanto interno quanto externo de qualquer rede.
Porém, tenho um cliente onde está rodando um firewall com iptables e squid. Desse cliente eu não consigo acesso de maneira nehuma. Mesmo configurando o proxy no cliente do spark quanto pelo sparkweb não conecta.
Diz que o usuário ou senha podem estar errados ou o domínio está inacessível.

Existe alguma regra que posso criar no script de firewall desse cliente onde eu libero totalmente a porta de comunicacao 5222?

Pelo que entendi da situação, está ocorrendo algum tipo de bloqueio em relação ao acesso à essa porta.

Pelo amor de deus, preciso de ajuda mesmo URGENTE!

Agradeço a todos desde já.

[]'s

DMS_
(usa elementary OS)

Enviado em 18/10/2011 - 10:20h

# iptables -A INPUT -p tcp --dport 5222 -j ACCEPT

 

Coloque este comando no script, antes de qualquer regra de bloqueio.
Acho que isso já ajuda :S, tenta ai, e diz se deu certo.


[]'s

renato_pacheco
(usa Debian)

Enviado em 18/10/2011 - 10:23h

Primeiro, vai depender das regras do iptables na rede do seu cliente. Segundo, precisa v questão da regra d DNAT para acessar o serviço do Openfire: todos podem acessar?

pes
(usa Debian)

Enviado em 18/10/2011 - 10:51h

Olá Demarchi.
A regra que vc passou eu já tinha feito e não resolveu o acesso!

Olá Renato_Pacheco
Sim, de dentro dessa rede do cliente em questão todos deverão ter o acesso ao serviço!

Lembrando que de qualquer outro lugar o acesso está normal.

Grato pessoal!

renato_pacheco
(usa Debian)

Enviado em 18/10/2011 - 10:53h

Então é alguma coisa na rede dele e não na sua. Se todos conseguem acessar menos ele...

pes
(usa Debian)

Enviado em 18/10/2011 - 11:08h

Sim, por isso que eu disse que provavelmente é o firewall...
Alguma idéia de como forçar a liberação da porta?

[]'s

renato_pacheco
(usa Debian)

Enviado em 18/10/2011 - 11:11h

Meu caro, é necessário das regras da rede dele pra sabermos, ok?

pes
(usa Debian)

Enviado em 18/10/2011 - 12:32h

Pessoal, segue o script que rola lá.
Algumas regras estão comentadas pois foram as que eu testei sem sucesso!

#Interfaces
IFINT="eth2"
IFEXT="eth0"

#Portas Internas Liberadas
PORT_TCP_PERMIT_INT="20,21,22,5561,5562,25,110,2021,3128,2631,8081,8085,8090,8888,8017"
PORT_TCP_PERMIT_INT2="1533:1536,1540:1548,3456,5006,3007,8800,5017,587"
PORT_UDP_PERMIT_INT="53,5222,55168,8017,8090"

#Portas Externas Liberadas
PORT_TCP_PERMIT_EXT="22,3389,81,80,5222"
PORT_UDP_PERMIT_EXT=""


##########################
# REGRAS : PERMITIDAS #
# Interface: Localhost #
##########################

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#############################
# REGRAS : Ativando NAT #
# Interface Externa: Eth0 #
#############################

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $IFEXT -j MASQUERADE
echo "Configurando acesso ao Debit..."
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d debit.com.br -j REDIRECT $IFEXT
echo "OK!"

######################################################
# REGRAS : LIBERADA PORTA PROXY (8080) PARA TODOS #
# Interface: Interna #
######################################################

iptables -A INPUT -i $IFINT -p tcp --dport 8080 -j ACCEPT

######################################################
# REGRAS : LIBERA ACESSO AO SPARK #
# Interface: Interna #
######################################################

#iptables -A INPUT -i $IFINT -p tcp --dport 5222 -j ACCEPT

######################################################
# REGRAS : LIBERA ACESSO AO SPARK #
# Interface: Externa #
######################################################

iptables -A INPUT -p tcp --dport 5222 -j ACCEPT
#iptables -A FORWARD -i $IFEXT -s 0/0 -p tcp --dport 5222 -j ACCEPT

iptables -A FORWARD -i $IFEXT -p tcp --dport 5222 -j ACCEPT
iptables -t nat -A POSTROUTING -o $IFEXT -p tcp -s 192.168.0.0/24 -d 0/0 --dport 5222 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 0/0 --dport 5222 -j RETURN

######################################################
# REGRAS : LIBERADA PORTA 80 PARA ROTEADOR WIRELESS#
# Interface: Interna #
######################################################

iptables -A INPUT -i $IFINT -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IFINT -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT


#######################################################
# REGRAS : LIBERA ACESSO TOTAL AOS ADMINISTRADORES #
# Interface: Interna #
#######################################################
for liberado in `cat /etc/rjnetwork/ip_liberado`
do
iptables -A INPUT -i $IFINT -s $liberado -j ACCEPT
iptables -A FORWARD -i $IFINT -s $liberado -p tcp --dport 80 -j REJECT
iptables -A FORWARD -i $IFINT -s $liberado -j ACCEPT
done

######################################################
# REGRAS : LIBERA ACESSO AOS USUARIOS LIMITADOS #
# Interface: Interna #
######################################################
iptables -A INPUT -i $IFINT -m multiport -p tcp --dport $PORT_TCP_PERMIT_INT -j ACCEPT
iptables -A INPUT -i $IFINT -m multiport -p tcp --dport $PORT_TCP_PERMIT_INT2 -j ACCEPT
iptables -A INPUT -i $IFINT -m multiport -p udp --dport $PORT_UDP_PERMIT_INT -j ACCEPT
iptables -A FORWARD -i $IFINT -m multiport -p tcp --dport $PORT_TCP_PERMIT_INT -j ACCEPT
iptables -A FORWARD -i $IFINT -m multiport -p tcp --dport $PORT_TCP_PERMIT_INT2 -j ACCEPT
iptables -A FORWARD -i $IFINT -m multiport -p udp --dport $PORT_UDP_PERMIT_INT -j ACCEPT

###################################################
# REGRAS : LIBERA ACESSO AS CONEXOES EXTERNAS #
# Interface: Externa #
###################################################

iptables -A INPUT -i $IFEXT -m multiport -p tcp --dport $PORT_TCP_PERMIT_EXT -j ACCEPT
#iptables -A INPUT -i $IFEXT -m multiport -p udp --dport $PORT_UDP_PERMIT_EXT -j ACCEPT
iptables -A FORWARD -i $IFEXT -m multiport -p tcp --dport $PORT_TCP_PERMIT_EXT -j ACCEPT
#iptables -A FORWARD -i $IFEXT -m multiport -p udp --dport $PORT_UDP_PERMIT_EXT -j ACCEPT

iptables -A INPUT -i $IFEXT -p tcp --dport 7878 -j ACCEPT
iptables -A INPUT -i $IFEXT -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -i $IFEXT -p tcp --dport 7878 -j ACCEPT
iptables -A FORWARD -i $IFEXT -p tcp --dport 20 -j ACCEPT

##########################################################
# REGRAS: Direcionamentos externos para a rede Interna #
# Interface: Externa #
##########################################################

# Acesso remoto ao servidor de cameras
iptables -t nat -A PREROUTING -s 0/0 -i $IFEXT -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
# Acesso ao sistema de cameras
iptables -t nat -A PREROUTING -s 0/0 -i $IFEXT -p tcp --dport 81 -j DNAT --to-destination 192.168.0.2:80

###############################################
# REGRAS: BLOQUEIA TODAS AS OUTRAS CONEXOES #
# Interface: Interna #
###############################################

iptables -A FORWARD -i $IFINT -p tcp --syn -j DROP


###############################################
# REGRAS: BLOQUEIA TODAS AS OUTRAS CONEXOES #
# Interface: Externa #
###############################################

#iptables -A FORWARD -i $IFEXT -p tcp --syn -j REJECT

renato_pacheco
(usa Debian)

Enviado em 18/10/2011 - 13:49h

Cara, basta liberar o FORWARD ae (q vc comentou), só q sem a interface de rede:

iptables -A FORWARD -s 0/0 -p tcp --dport 5222 -j ACCEPT

 

Lembrando q o protocolo Jabber é porta 5222 TCP.

rodrigom
(usa Debian)

Enviado em 18/10/2011 - 16:52h

Eu tenho spark rodando atras de um FW, e os clientes conectam de fora normalmente, so que, são várias portas, não somente a 5222..
Não pode ser isso ??

renato_pacheco
(usa Debian)

Enviado em 18/10/2011 - 16:55h

@rodrigom, eu até olhei sobre isso, só q as outras portas servem para transferência d arquivos, algo q não atrapalha na comunicação comum do mensageiro.

rodrigom
(usa Debian)

Enviado em 18/10/2011 - 17:03h

Sabemos que na prática as coisas são um pouco diferentes que na teoria, não custa tentar direcionar todas... caso não funcione, pelo menos dica de consciência tranquila..

tem que ir eliminando os possíveis problemas..