LINUX.ORG.RU
решено ФорумAdmin

OpenFire не доступен даже по локальной сети, хотя с localhost`а прекрасно работает.


0

1

Не раз его ставил, хорошая штука и вот на работе нужно поднять свою IM-сеть... Казалось бы - всё просто и было не раз, да вот незадача: не могу попасть в сервер с другой машины. ВООБЩЕ. НИКАК и НИЧЕМ - ни браузером на WEB-морду, ни по XMPP с клиента, хотя локально всё прекрасно работает - тестовая машина выходит в сеть интернета, снаружи пинается, даёт зайти по ssh и видит своих соседей, WEB-морда жабосервера открывается как с localhost, так и по собственному IP тестового компьютера, и в рамках тестовой машины клиент ловит сервер и общается с ним.

Однако, стоит вылезти за пределы локалхоста, как сервер «исчезает» - WEB-морда пишет что нет такого сервера, а клиент жалуется на невозможность установки соединения не смотря на то что машина с сервером пингуется и отвечает на ssh и тому подобное. Что делать-то?

Локальная политика безопасности запрещает локальные обращения извне (локально сформированый запрос уйдя в сеть интернет будет обрезан при возвращении обратно). Никакой привязки к AD или почте. БД встроенная. OpenFire самый последний. Платформа Fedora 10 x64.

★★

Ответ на: комментарий от lnx

Файрволл

Нету его. Я отключил все средства самозащиты (SELinux тоже). На самом «Огоньке» тоже разрешил всё что только можно было разрешать.

zzdnx ★★
() автор топика
Ответ на: комментарий от power

netstat

Пробовал, но чуток с другими параметрами. Всё открыто. Даже сис собственной персоной ковырял чуток - всё разрешено, блокираторов нет, доступ, по идее, открыт всюду... Завтра могу привести вывод указаной Вами команды.

zzdnx ★★
() автор топика
Ответ на: комментарий от power

netstat & iptables-save

$ netstat -ntpl
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:33946 0.0.0.0:* LISTEN -
tcp 0 0 :::7777 :::* LISTEN -
tcp 0 0 :::9090 :::* LISTEN -
tcp 0 0 :::9091 :::* LISTEN -
tcp 0 0 :::5222 :::* LISTEN -
tcp 0 0 :::5223 :::* LISTEN -
tcp 0 0 :::5229 :::* LISTEN -
tcp 0 0 :::111 :::* LISTEN -
tcp 0 0 :::7443 :::* LISTEN -
tcp 0 0 :::5269 :::* LISTEN -
tcp 0 0 :::22 :::* LISTEN -
tcp 0 0 :::7070 :::* LISTEN -


iptables-save
# Generated by iptables-save v1.4.1.1 on Wed Jan 1 23:21:20 2003
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13226:693591]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Jan 1 23:21:20 2003

zzdnx ★★
() автор топика
Ответ на: netstat & iptables-save от zzdnx

Ну вот:

tcp 0 0 :::5222 :::* LISTEN -
tcp 0 0 :::5223 :::* LISTEN - 
почему-то слушает только на IPv6-интерфейсах. Кури документацию по настройкам на тему listen.

power
()
Ответ на: комментарий от power

Исправлено:

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT >> -A INPUT -p tcp -m state -j ACCEPT

На веб спустил сразу! Большое спасибо за помощь ^_^ Я впервые с таким столкнулся и два дня ломал голову... Оказалось, в линуксе «как всегда» - всё делается проще, чем ты думаешь.

zzdnx ★★
() автор топика
Ответ на: комментарий от power

IPv6

Это уже обнаружил... Он не впускает на сервер клиента извне, но это уже другая проблема и вполне решаемая.

zzdnx ★★
() автор топика
Ответ на: IPv6 от zzdnx

А еще у тебя правила для iptables неправильные. man политика по умолчанию.

power
()
Ответ на: комментарий от power

А еще у тебя...

Это было на тестовом компе после установки ОС вчистую. OF планируется залить на настроенный и работающий сервер под той же ОС, но там подобных ляпов уже не будет так как админ всё давно настроитл. Моя проблема возникла из-за предустановок дистрибутива.

Что касается IPv6 - настройка пропускает параллельно и v4, так что проблемы с подключением нет. Мой клиент был неправильно настроен, потому дал сбой при первой попытке подключения, когда я получил доступ к админке с другого компьютера. Сейчас всё работает.

zzdnx ★★
() автор топика
Ответ на: комментарий от power

man политика по умолчанию.

В сочетании с тем, что у ТС'а записано

-A INPUT -j REJECT --reject-with icmp-host-prohibited
в последнем правиле iptables, возникают обоснованные сомнения в том, что политика по умолчанию ему поможет :-)

Nastishka ★★★★★
()
19 апреля 2012 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.