Mis saludos; uso CentOS y shorewall como firewall. Tengo un servicio jabber con Openfire que hasta ayer todo trabajaba bastante bien. Hice una mudanza del Openfire para otra PC y a pesar que localmente todo trabaja ok, dejó de comunicarse con los servidores Openfire externos. He revisado las trazas del firewall (shorewall) y me doy cuenta que todos los paquetes que vienen desde fuera de mi red para el puerto 5269 aún son enviados a la IP del servidor donde estaba el Openfire anteriormente, aún cuando he hecho todos los cambios que creo que se necesiten hacer.
El cambio que hice fue del servicio Openfire de una PC a otra; anteriormente estaba en una PC de IP 172.16.120.5 y lo mudé para una de IP 172.16.120.4. Hice los cambios pertinentes en bind para las dos vistas que tengo (externa e interna) en los registros A, CNAME y SRV. Mas o menos es esto: gtmdc IN A 172.16.120.4 jabber IN CNAME gtmdc.gtm.onat.gov.cu. $ORIGIN _tcp.gtm.onat.gov.cu. _jabber IN SRV 5 0 5269 gtmdc.gtm.onat.gov.cu. _xmpp-server IN SRV 5 0 5269 gtmdc.gtm.onat.gov.cu. _xmpp-client IN SRV 5 0 5222 gtmdc.gtm.onat.gov.cu. En el firewall una regla que básicamente me dice que todo lo que llegue de fuera de mi red (inet) y vaya para el puerto 5222, 5223 y 5269; que sea enviado a la IP donde corre el servicio Openfire en mi red local (loc). Se ve así: DNAT:info inet loc:172.16.120.4 tcp 5222,5223,5269 Sin embargo cuando miro las trazas me sale esto (claramente, el DNAT no esta funcionando correctamente pues aún todo lo está enviando a la IP 172.16.120.5): Jun 25 16:39:24 gtmo kernel: Shorewall:inet_dnat:DNAT:IN=eth0 OUT= MAC=00:40:f4:a3:5c:9b:00:c0:89:03:c9:eb:08:00 SRC=172.16.56.1 DST=172.16.120.5 LEN=60 TOS=0x08 PREC=0x60 TTL=58 ID=19476 DF PROTO=TCP SPT=44152 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 Cuando me cersioro con el comando "shorewall show connections" obtengo esto (donde se ve claramente que las conexiones ya están establecidas por el IP 172.16.120.5) tcp 6 428502 ESTABLISHED src=172.16.32.4 dst=172.16.120.5 sport=1611 dport=5269 packets=13 bytes=1674 src=192.168.41.15 dst=172.16.32.4 sport=5269 dport=1611 packets=1 bytes=48 [ASSURED] mark=0 secmark=0 use=1 Que puede ser que esté sucediendo con el DNAT que no enrruta los paquetes como debe ser, es decir, como dice la regla del shorewall? -- Rommel Rodriguez Toirac Administrador de red ONAT Guantánamo Teléfono (pizarra): 327444,326625,326376,327677,326576 Extensión: 120 ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
